GhostCat: New High-Risk Vulnerability Affects Servers Running Apache Tomcat

Se presenta nueva vulnerabilidad en sistemas Apache Tomcat. Afecta a todas las versiones (9.x/8.x/7.x/6.x) lanzadas en los últimos 13 años, dado que presenta un fallo de lectura e inclusión de archivos, explotable en la configuración por defecto.

Nombrado «Ghostcat» y etiquetado como CVE-2020-1938 (CVSS 9.8), el fallo puede permitir a atacantes remotos y no autenticados, leer el contenido de cualquier archivo de un servidor vulnerable y obtener información sensible, permitiendo así la posibilidad de ejecución arbitraria de código.

Según la compañía china de seguridad cibernética Chaitin Tech, la vulnerabilidad reside en el protocolo AJP del software Apache Tomcat que surge debido al manejo inadecuado de un atributo. El protocolo Apache JServ Protocol (AJP) es básicamente una versión optimizada del protocolo HTTP para permitir que Tomcat se comunique con un servidor web Apache. Aunque el protocolo AJP viene habilitado de forma predeterminada y escucha en el puerto TCP 8009, está vinculado a la dirección IP 0.0.0.0 y solo puede explotarse de forma remota cuando sea accesible para clientes no confiables. Según ‘onyphe’, un motor de búsqueda de datos de inteligencia de código abierto y amenazas cibernéticas, hay más de 170,000 dispositivos que exponen un conector AJP a todos a través de Internet, en el momento de la redacción.

Los investigadores de Chaitin encontraron e informaron esta falla el mes pasado al proyecto Apache Tomcat, que ahora lanzó las versiones Apache Tomcat 9.0.31, 8.5.51 y 7.0.100 para solucionar el problema.

Referencia: https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html