Advierten de escaneos relativos a Ghostcat, la última vulnerabilidad en Apache Tomcat
Varios expertos llevan días alertando de escaneos masivos en la red que buscan encontrar servidores vulnerables a la vulnerabilidad CVE-2020-1938 recientemente desclasificada y que afecta a servidores web Apache Tomcat, conocida como Ghostcat.
Este fallo de seguridad afecta a todas las versiones de Tomcat y podría explotarse para leer configuraciones web o plantar un backdoor o puerta trasera en los mismos.
¿En qué consiste la vulnerabilidad Ghostcat encontrada en Acache Tomcat?
La vulnerabilidad afecta al protocolo Tomcat AJP. El conector Tomcat permite al servicio de Apache conectar con el exterior, permite que Catalina reciba solicitudes desde el exterior, pasarlas a la aplicación web correspondiente para ser procesada y devolver el resultado de la solicitud al cliente.
Así se explica en el sitio web donde el investigador explica este descubrimiento:
Ghostcat es una grave vulnerabilidad en Tomcat descubierta por el investigador de ciberseguridad Chaitlin Tech. Debido a un fallo existente en el protocolo AJP de Tomcat, un atacante podría leer e incluir nuevos archivos en los directorios web de un servidor Tomcat. […] Por ejemplo, un atacante puede leer los archivos de configuración de la aplicación web o bien el código fuente. Además, si la app objetivo tiene alguna función que permita cargar ficheros, el atacante podría ejecutar código malicioso en el servidor, explotando para ello la vulnerabilidad Ghostcat.
Chaitlin Tech.
Por defecto, Tomcat utiliza dos conectores, el HTTP y el conector AJP. El segundo escucha solicitudes por el puerto 8009 TCP.
La vulnerabilidad puede explotarse para leer o escribir archivos en el servidor, si el atacante consigue aprovechar el fallo en el servicio para acceder a los archivos de configuración y robar contraseñas o bien tokens de la API. Este problema podría permitir además que un atacante cargue archivos al servidor, como por ejemplo una webshell.
Escaneos masivos en busca del CVE-2020-1938
Durante el fin de semana, los expertos de Bad Packets han detectado escaneos masivos en busca de este tipo de fallos.
Esta vulnerabilidad Ghostcat afecta a las siguientes versiones de Apache:
| Version de Apache | Versiones afectadas | Versión corregida |
|---|---|---|
| Apache Tomcat 9 | 9.0.30 and below | 9.0.31 |
| Apache Tomcat 8 | 8.5.50 and below | 8.5.51 |
| Apache Tomcat 7 | 7.0.99 and below | 7.0.100 |
Se han lanzado ya parches correctivos para las versiones Tomcat 7.x, Tomcat 8.x y Tomcat 9.x. Los expertos de Chaitlin han publicado también una actualización de su software X-Ray para encontrar servidores Tomcat afectados.
Detectar la vulnerabilidad
Chaitlin ha puesto a nuestra disposición una herramienta para detectar la vulnerabilidad en servidores Tomcat.
Mediante la herramienta X-Ray citada más arriba, podemos saber en instantes si nuestro servidor web está afectado por la vulnerabilidad.
Recuerda también que he hablado de otras alternativas para detectar los servicios web que corren en servidores y su versión, como Purplemet.
Si lo que te interesa es además ver la vulneraibilidad en marcha, se han publicado varios scripts de exploit con diferentes pruebas de concepto: A, B, C, D, E.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.