日前,長亭科技安全研究人員全球首次發(fā)現(xiàn)了一個(gè)存在于流行服務(wù)器 Apache Tomcat 中的文件讀取/包含漏洞,并第一時(shí)間提交廠商修復(fù)。據(jù)悉,該漏洞已潛伏十多年之久卻一直未被發(fā)現(xiàn),危害極大并可被攻擊者利用,造成企業(yè)大規(guī)模數(shù)據(jù)泄漏。長亭科技安全研究人員將此漏洞命名為“幽靈貓(Ghostcat)”。
2月14日,Apache Tomcat(以下簡稱 Tomcat) 官方發(fā)布安全更新版本,修復(fù)漏洞。2月20日,國家信息安全漏洞共享平臺(tái)(CNVD)聯(lián)合長亭科技發(fā)布安全公告,該漏洞綜合評(píng)級(jí)為高危,漏洞 CVE 編號(hào) CVE-2020-1938。長亭科技已將幽靈貓 (Ghostcat)相關(guān)威脅細(xì)節(jié)公布,提醒廣大企業(yè)用戶及時(shí)修復(fù),降低風(fēng)險(xiǎn)。
Tomcat 是當(dāng)前最流行的 Java 中間件服務(wù)器之一,而Java 是目前 Web 開發(fā)中最主流的編程語言,從初版發(fā)布到現(xiàn)在已經(jīng)有二十多年歷史,在世界范圍內(nèi)廣泛使用。此次被發(fā)現(xiàn)的幽靈貓(Ghostcat)漏洞,經(jīng)過研究人員確認(rèn),其影響范圍覆蓋全版本默認(rèn)配置下的 Tomcat,這意味著它在 Tomcat 里已經(jīng)潛伏了長達(dá)十多年的時(shí)間。
據(jù)網(wǎng)絡(luò)空間搜索引擎FOFA的數(shù)據(jù)顯示,過去一年內(nèi),全球范圍內(nèi)公網(wǎng)上活躍使用Tomcat軟件的數(shù)量近300萬,其中開放的AJP服務(wù)端端口數(shù)量為40多萬。而這還僅僅是公網(wǎng)數(shù)據(jù),如果加上各種企業(yè)內(nèi)網(wǎng)的使用,據(jù)不完全統(tǒng)計(jì),受到該漏洞的影響的主機(jī)數(shù)量可能達(dá)到千萬級(jí)。
由于 Tomcat AJP 協(xié)議設(shè)計(jì)上存在缺陷,攻擊者通過 Tomcat AJP Connector 可以讀取或包含 Tomcat 下部署的所有 webapp 的配置文件或 jsp/jar/class 等源碼文件。網(wǎng)站配置文件經(jīng)常含有諸如數(shù)據(jù)庫、郵箱服務(wù)器賬號(hào)密碼等敏感信息,這也就意味著,一旦攻擊者獲取這些信息,就有可能造成整個(gè)企業(yè)的重要核心數(shù)據(jù)被竊取。此外,如果網(wǎng)站應(yīng)用提供文件上傳的功能,攻擊者可以先向服務(wù)端上傳一個(gè)內(nèi)容含有惡意 JSP 腳本代碼的文件(上傳的文件本身可以是任意類型的文件,比如圖片、純文本文件等),然后利用 幽靈貓 (Ghostcat )漏洞進(jìn)行文件包含,從而達(dá)到遠(yuǎn)程代碼執(zhí)行,進(jìn)一步獲取服務(wù)器權(quán)限等危害。
“幽靈貓對(duì)企業(yè)內(nèi)網(wǎng)安全可造成較大的影響。Web應(yīng)用或組件的攻擊面大多來自HTTP協(xié)議,此次的漏洞發(fā)生在AJP協(xié)議中,該協(xié)議較少引起重視,這使得漏洞對(duì)企業(yè)內(nèi)網(wǎng)可能造成的影響變得更加不可控。”長亭科技聯(lián)合創(chuàng)始人、首席安全研究員楊坤博士對(duì)疫情特殊時(shí)期的應(yīng)急響應(yīng)表示擔(dān)憂。“我們已及時(shí)將可靠的解決方案輸出給客戶,并提供免費(fèi)掃描工具幫助企業(yè)及時(shí)發(fā)現(xiàn)問題,盡量降低在疫情期間人力不足情況導(dǎo)致的安全風(fēng)險(xiǎn)。”
在楊坤看來,在該漏洞還沒有造成更多損失之前,廣大企業(yè)應(yīng)更多關(guān)注攻擊面的收斂工作,盡可能關(guān)閉未使用的協(xié)議或端口。同時(shí)楊坤也提醒廣大企業(yè),已經(jīng)有研究人員放出漏洞利用的代碼,建議大家盡快針對(duì)此漏洞完成應(yīng)急響應(yīng)流程。
針對(duì)此次幽靈貓(Ghostcat)漏洞可能造成的安全風(fēng)險(xiǎn),長亭科技為企業(yè)用戶和個(gè)人用戶提供在線監(jiān)測(cè)、檢測(cè)工具下載和應(yīng)急服務(wù)(027-59760362),建議可能受此漏洞影響的企業(yè)和個(gè)人立即進(jìn)行有針對(duì)性的自查。
