Ghostcat minaccia tutte le installazioni di Apache Tomcat degli ultimi 13 anni

Una nuova vulnerabilità, soprannominata Ghostcat, sta mettendo a rischio centinaia di migliaia di installazioni di Apache Tomcat dato che permette a un attaccante di leggere e scrivere dati sui server vittima. La vulnerabilità è già stata corretta.

Ghostcat mette a rischio le installazioni di Apache Tomcat

Ghostcat è una vulnerabilità che permette agli attaccanti di sfruttare un problema nel connettore AJP, utilizzato per comunicare con i server web Apache HTTPD o con altri server Tomcat. È presente in tutte le versioni di Tomcat rilasciate da febbraio 2007, ovvero 6.x, 7.x 8.x e 9.x.

La vulnerabilità, individuata dai ricercatori della cinese Chaitin, rende possibile leggere dati come file di configurazione o token API dal server vittima, così come scriverne, ad esempio caricando eseguibili malevoli o file da far eseguire al server Tomcat stesso. La possibilità di scrivere durante l'attacco è però limitata ai soli casi in cui è data la possibilità agli utenti di caricare file.

Chaitin ha comunicato alla Apache Foundation il problema a inizio gennaio e ha collaborato nella creazione di una patch che correggesse il problema. Tale patch è disponibile per Apache Tomcat 7.x, 8.x e 9.x, ma non per la versione 6.x che ha terminato il supporto nel 2016.

Apache Tomcat è una soluzione piuttosto diffusa in ambito server e sono molte le applicazioni aziendali che si appoggiano a questa tecnologia. La portata della vulnerabilità è pertanto piuttosto estesa.

Come riporta ZDNet, Red Hat suggerisce di disabilitare il connettore AJP nel caso in cui non venga utilizzato attivamente o di effettuare un bind su localhost così da impedire accessi non voluti. In ogni caso si tratta di una porta che non dovrebbe essere esposta pubblicamente senza un rigido controllo.