日前,長亭科技安全研究人員全球首次發現了一個存在于流行服務器 Apache Tomcat 中的文件讀取/包含漏洞,并第一時間提交廠商修復。據悉,該漏洞已潛伏十多年之久卻一直未被發現,危害極大并可被攻擊者利用,造成企業大規模數據泄漏。長亭科技安全研究人員將此漏洞命名為“幽靈貓(Ghostcat)”。
2月14日,Apache Tomcat(以下簡稱 Tomcat) 官方發布安全更新版本,修復漏洞。2月20日,國家信息安全漏洞共享平臺(CNVD)聯合長亭科技發布安全公告,該漏洞綜合評級為高危,漏洞 CVE 編號 CVE-2020-1938。長亭科技已將幽靈貓 (Ghostcat)相關威脅細節公布,提醒廣大企業用戶及時修復,降低風險。
Tomcat 是當前最流行的 Java 中間件服務器之一,而Java 是目前 Web 開發中最主流的編程語言,從初版發布到現在已經有二十多年歷史,在世界范圍內廣泛使用。此次被發現的幽靈貓(Ghostcat)漏洞,經過研究人員確認,其影響范圍覆蓋全版本默認配置下的 Tomcat,這意味著它在 Tomcat 里已經潛伏了長達十多年的時間。
據網絡空間搜索引擎FOFA的數據顯示,過去一年內,全球范圍內公網上活躍使用Tomcat軟件的數量近300萬,其中開放的AJP服務端端口數量為40多萬。而這還僅僅是公網數據,如果加上各種企業內網的使用,據不完全統計,受到該漏洞的影響的主機數量可能達到千萬級。
由于 Tomcat AJP 協議設計上存在缺陷,攻擊者通過 Tomcat AJP Connector 可以讀取或包含 Tomcat 下部署的所有 webapp 的配置文件或 jsp/jar/class 等源碼文件。網站配置文件經常含有諸如數據庫、郵箱服務器賬號密碼等敏感信息,這也就意味著,一旦攻擊者獲取這些信息,就有可能造成整個企業的重要核心數據被竊取。此外,如果網站應用提供文件上傳的功能,攻擊者可以先向服務端上傳一個內容含有惡意 JSP 腳本代碼的文件(上傳的文件本身可以是任意類型的文件,比如圖片、純文本文件等),然后利用 幽靈貓 (Ghostcat )漏洞進行文件包含,從而達到遠程代碼執行,進一步獲取服務器權限等危害。
“幽靈貓對企業內網安全可造成較大的影響。Web應用或組件的攻擊面大多來自HTTP協議,此次的漏洞發生在AJP協議中,該協議較少引起重視,這使得漏洞對企業內網可能造成的影響變得更加不可控。”長亭科技聯合創始人、首席安全研究員楊坤博士對疫情特殊時期的應急響應表示擔憂。“我們已及時將可靠的解決方案輸出給客戶,并提供免費掃描工具幫助企業及時發現問題,盡量降低在疫情期間人力不足情況導致的安全風險。”
在楊坤看來,在該漏洞還沒有造成更多損失之前,廣大企業應更多關注攻擊面的收斂工作,盡可能關閉未使用的協議或端口。同時楊坤也提醒廣大企業,已經有研究人員放出漏洞利用的代碼,建議大家盡快針對此漏洞完成應急響應流程。
針對此次幽靈貓(Ghostcat)漏洞可能造成的安全風險,長亭科技為企業用戶和個人用戶提供在線監測、檢測工具下載和應急服務(027-59760362),建議可能受此漏洞影響的企業和個人立即進行有針對性的自查。
