行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
已主动检测到Apache Tomcat Ghostcat漏洞的主动扫描,立即进行修补
2020-03-03 11:02:38 【

周末检测到针对Ghostcat漏洞未修补的Apache Tomcat服务器的持续扫描,该漏洞使潜在的攻击者可以接管服务器。

正如网络威胁情报公司Bad Packets 在周六所说的那样,“针对此漏洞的大规模扫描活动已经开始。立即修补!”



Ghostcat是一个高风险文件读取/包含漏洞,其跟踪为CVE-2020-1938,并且存在于版本6.x和9.x之间的Apache Tomcat的Apache JServ协议(AJP)中。

使用Apache Tomcat开发者已经发布的版本7.0.10051年5月8日,和9.0.31修补漏洞,但是,6.x版的用户必须升级到新的版本,因为这个分支已经达到最终OF-支持,并且不再更新-6.x的最新更新于20174月7日发布

默认情况下,所有未打补丁的Apache Tomcat 6、7、8和9安装均附带启用AJP连接器,并侦听端口8009上所有已配置的服务器IP地址。

可用的概念验证漏洞

成立说,证明的概念攻击已经由安全研究人员在GitHub(共享12345)。

如果您不能立即将服务器更新或升级到修补的Tomcat版本,Chaitin Tech的研究团队建议完全禁用AJP连接器(如果未积极使用)或配置AJP连接器requiredSecret属性以设置身份验证凭据。

Chaitin Tech还提供了一个安全评估工具,可以帮助您发现容易受到针对网络上Ghostcat攻击的Tomcat服务器


Shodan称,目前可以通过Internet访问超过890,000台Tomcat服务器,而BinaryEdge发现了超过一百万台。

下表列出了受影响的Apache Tomcat版本以及Ghostcat漏洞已修复的版本。

受影响的版本固定版
Apache Tomcat 9最高9.0.309.0.31
Apache Tomcat 8高达8.5.508.5.51
Apache Tomcat 7最高7.0.997.0.100
Apache Tomcat 6所有版本不适用

可能导致服务器接管的严重缺陷

开发人员解释说: “ Tomcat将AJP连接视为比例如类似的HTTP连接具有更高的信任度。” “如果攻击者可以使用这种连接,则可以以令人惊讶的方式利用它们。”

中国安全机构Chaitin Tech的研究人员详细发现了该错误,成功利用未打补丁的Tomcat服务器后,“攻击者可以读取Tomcat上部署的所有Web应用程序的配置文件和源代码文件的内容。”

“此外,如果网站应用程序允许用户上传文件,则攻击者可以先将包含恶意JSP脚本代码的文件上传到服务器(上传的文件本身可以是任何类型的文件,例如图片,纯文本文件等)。 ,然后利用Ghostcat漏洞包含上载的文件,该漏洞最终可能导致远程执行代码。”

根据SnykRed Hat的说法,Tomcat还附带了使用Spring Boot Java框架以及其他基于Java的服务器和框架(包括但不限于JBoss Web服务器(JWS)和JBoss企业应用程序平台(EAP))构建的应用程序。ZDNet报道。



】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇勒索软件五大家族的攻击目标与方法 下一篇黑客使用Windows 10 RDP ActiveX..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800