Si su servidor web se está ejecutando en Apache Tomcat, debe instalar inmediatamente la última versión disponible de la aplicación del servidor para evitar que los atacantes tomen control no autorizado sobre ella.
Sí, eso es posible porque todas las versiones (9.x / 8.x / 7.x / 6.x) del Apache Tomcat lanzado en los últimos 13 años se han encontrado vulnerables a un nuevo archivo de alta gravedad (CVSS 9.8) error de lectura e inclusión ‘, que puede explotarse en la configuración predeterminada.
Pero es más preocupante porque varias vulnerabilidades de prueba de concepto (1, 2, 3, 4 y más) para esta vulnerabilidad también han aparecido en Internet, lo que facilita que cualquiera pueda hackear servidores web vulnerables de acceso público.
Apodado ‘Ghostcat’ y rastreado como CVE-2020-1938, la falla podría permitir que los atacantes remotos no autenticados lean el contenido de cualquier archivo en un servidor web vulnerable y obtengan archivos de configuración confidenciales o código fuente, o ejecuten código arbitrario si el servidor permite el archivo subir, como se muestra en una demostración a continuación.
¿Qué es la falla de Ghostcat y cómo funciona?
Según la compañía china de seguridad cibernética Chaitin Tech, la vulnerabilidad reside en el protocolo AJP del software Apache Tomcat que surge debido al manejo inadecuado de un atributo.
«Si el sitio permite que los usuarios carguen archivos, un atacante puede cargar primero un archivo que contenga código de script JSP malicioso en el servidor (el archivo cargado en sí mismo puede ser de cualquier tipo de archivo, como imágenes, archivos de texto plano, etc.) y luego incluir el archivo cargado explotando el Ghostcat, que finalmente puede resultar en la ejecución remota de código «, dijeron los investigadores.
El protocolo Apache JServ Protocol (AJP) es básicamente una versión optimizada del protocolo HTTP para permitir que Tomcat se comunique con un servidor web Apache.
Aunque el protocolo AJP viene habilitado de forma predeterminada y escucha en el puerto TCP 8009, está vinculado a la dirección IP 0.0.0.0 y solo puede explotarse de forma remota cuando sea accesible para clientes no confiables.
Según ‘onyphe’, un motor de búsqueda de datos de inteligencia de código abierto y amenazas cibernéticas, hay más de 170,000 dispositivos que exponen un conector AJP a todos a través de Internet, en el momento de la redacción.
Vulnerabilidad de Apache Tomcat: parche y mitigación
Los investigadores de Chaitin encontraron e informaron este defecto el mes pasado al proyecto Apache Tomcat, que ahora lanzó las versiones Apache Tomcat 9.0.31, 8.5.51 y 7.0.100 para solucionar el problema.
Las últimas versiones también corrigen otros 2 problemas de contrabando de solicitudes HTTP de baja gravedad (CVE-2020-1935 y CVE-2019-17569).
Se recomienda encarecidamente a los administradores web que apliquen las actualizaciones de software lo antes posible y se les aconseja que nunca expongan el puerto AJP a clientes no confiables porque se comunica a través del canal inseguro y está destinado a ser utilizado dentro de una red confiable.
«Los usuarios deben tener en cuenta que se realizaron una serie de cambios en la configuración predeterminada del conector AJP en 9.0.31 para fortalecer la configuración predeterminada. Es probable que los usuarios que actualicen a 9.0.31 o posterior necesiten hacer pequeños cambios en sus configuraciones como resultado «, dijo el equipo de Tomcat.
Sin embargo, si, por alguna razón, no puede actualizar su servidor web afectado de inmediato, también puede deshabilitar el conector AJP directamente o cambiar su dirección de escucha al localhost.