Ghostcat minaccia tutte le installazioni di Apache Tomcat degli ultimi 13 anni

Ghostcat minaccia tutte le installazioni di Apache Tomcat degli ultimi 13 anni

Ghostcat è una nuova vulnerabilità che minaccia le installazioni di Apache Tomcat, soluzione piuttosto diffusa per la creazione di applicazioni aziendali. Gli attaccanti possono leggere e scrivere dati liberamente dai server, ma c'è già una patch

di pubblicata il , alle 12:41 nel canale Security
 

Una nuova vulnerabilità, soprannominata Ghostcat, sta mettendo a rischio centinaia di migliaia di installazioni di Apache Tomcat dato che permette a un attaccante di leggere e scrivere dati sui server vittima. La vulnerabilità è già stata corretta.

Ghostcat mette a rischio le installazioni di Apache Tomcat

Ghostcat è una vulnerabilità che permette agli attaccanti di sfruttare un problema nel connettore AJP, utilizzato per comunicare con i server web Apache HTTPD o con altri server Tomcat. È presente in tutte le versioni di Tomcat rilasciate da febbraio 2007, ovvero 6.x, 7.x 8.x e 9.x.

La vulnerabilità, individuata dai ricercatori della cinese Chaitin, rende possibile leggere dati come file di configurazione o token API dal server vittima, così come scriverne, ad esempio caricando eseguibili malevoli o file da far eseguire al server Tomcat stesso. La possibilità di scrivere durante l'attacco è però limitata ai soli casi in cui è data la possibilità agli utenti di caricare file.

Chaitin ha comunicato alla Apache Foundation il problema a inizio gennaio e ha collaborato nella creazione di una patch che correggesse il problema. Tale patch è disponibile per Apache Tomcat 7.x, 8.x e 9.x, ma non per la versione 6.x che ha terminato il supporto nel 2016.

Apache Tomcat è una soluzione piuttosto diffusa in ambito server e sono molte le applicazioni aziendali che si appoggiano a questa tecnologia. La portata della vulnerabilità è pertanto piuttosto estesa.

Come riporta ZDNet, Red Hat suggerisce di disabilitare il connettore AJP nel caso in cui non venga utilizzato attivamente o di effettuare un bind su localhost così da impedire accessi non voluti. In ogni caso si tratta di una porta che non dovrebbe essere esposta pubblicamente senza un rigido controllo.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
R@nda05 Marzo 2020, 12:42 #1
Ma santo cielo, in un primo momento avevo pensato ad un virus che attaccava gli elicotteri.
acerbo05 Marzo 2020, 12:55 #2
bene bene avro' un bel da fare sul mio parco di oltre 60 vm, per fortuna che il patch management lo avevo già automatizzato da tempo, 10 minuti di orologio ed aggiorno tutte le installazioni 7.0, 8.5 e 9.0

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^