Saltar al contenido

Advierten de escaneos relativos a Ghostcat, la última vulnerabilidad en Apache Tomcat

advierten-de-escaneos-relativos-a-ghostcat-la-c3baltima-vulnerabilidad-en-apache-tomcat

Varios expertos llevan días alertando de escaneos masivos en la red que buscan encontrar servidores vulnerables a la vulnerabilidad CVE-2020-1938 recientemente desclasificada y que afecta a servidores web Apache Tomcat, conocida como Ghostcat.

Este fallo de seguridad afecta a todas las versiones de Tomcat y podría explotarse para leer configuraciones web o plantar un backdoor o puerta trasera en los mismos.

¿En qué consiste la vulnerabilidad Ghostcat encontrada en Acache Tomcat?

La vulnerabilidad afecta al protocolo Tomcat AJP. El conector Tomcat permite al servicio de Apache conectar con el exterior, permite que Catalina reciba solicitudes desde el exterior, pasarlas a la aplicación web correspondiente para ser procesada y devolver el resultado de la solicitud al cliente.

Así se explica en el sitio web donde el investigador explica este descubrimiento:

Ghostcat es una grave vulnerabilidad en Tomcat descubierta por el investigador de ciberseguridad Chaitlin Tech. Debido a un fallo existente en el protocolo AJP de Tomcat, un atacante podría leer e incluir nuevos archivos en los directorios web de un servidor Tomcat. […] Por ejemplo, un atacante puede leer los archivos de configuración de la aplicación web o bien el código fuente. Además, si la app objetivo tiene alguna función que permita cargar ficheros, el atacante podría ejecutar código malicioso en el servidor, explotando para ello la vulnerabilidad Ghostcat.

Chaitlin Tech.

Por defecto, Tomcat utiliza dos conectores, el HTTP y el conector AJP. El segundo escucha solicitudes por el puerto 8009 TCP.

ajp-connector-default

La vulnerabilidad puede explotarse para leer o escribir archivos en el servidor, si el atacante consigue aprovechar el fallo en el servicio para acceder a los archivos de configuración y robar contraseñas o bien tokens de la API. Este problema podría permitir además que un atacante cargue archivos al servidor, como por ejemplo una webshell.

Escaneos masivos en busca del CVE-2020-1938

Durante el fin de semana, los expertos de Bad Packets han detectado escaneos masivos en busca de este tipo de fallos.

Esta vulnerabilidad Ghostcat afecta a las siguientes versiones de Apache:

Version de ApacheVersiones afectadasVersión corregida
Apache Tomcat 99.0.30 and below9.0.31
Apache Tomcat 88.5.50 and below8.5.51
Apache Tomcat 77.0.99 and below7.0.100

Se han lanzado ya parches correctivos para las versiones Tomcat 7.x, Tomcat 8.x y Tomcat 9.x. Los expertos de Chaitlin han publicado también una actualización de su software X-Ray para encontrar servidores Tomcat afectados.

Detectar la vulnerabilidad

Chaitlin ha puesto a nuestra disposición una herramienta para detectar la vulnerabilidad en servidores Tomcat.

Mediante la herramienta X-Ray citada más arriba, podemos saber en instantes si nuestro servidor web está afectado por la vulnerabilidad.

Recuerda también que he hablado de otras alternativas para detectar los servicios web que corren en servidores y su versión, como Purplemet.

Si lo que te interesa es además ver la vulneraibilidad en marcha, se han publicado varios scripts de exploit con diferentes pruebas de concepto: A, B, C, D, E.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: