近日,长亭科技安全研究人员发现了一个存在于流行服务器Tomcat中的文件读取/包含漏洞,此漏洞命名为“幽灵猫”
由于Tomcat使用范围广,且该漏洞已潜伏十年之久,危害极大,且容易被攻击者利用,造成企业大规模数据泄露
该漏洞由长亭科技第一时间提交厂商修复,2月14日,Apache Tomcat官方发布安全更新版本,修复漏洞,2月20日,国家信息安全漏洞共享平台(CNVD)发布安全公告,该漏洞综合评级为高危,漏洞CVE编号CVE-2020-1938
漏洞影响范围:
该漏洞主要由AJP连接器引起,连接器是Tomcat最核心的两个组件之一,主要职责就是负责接收客户端连接和客户端请求的处理加工,每个Connector(连接器)都将指定一个端口进行监听,分别负责对请求报文的解析和响应报文组装,解析过程生成Request对象,而组装过程设计Response对象
在Tomcat中常见的连接器协议有两种,分别就是HTTP协议和AJP协议
上面两个图,分别就是HTTP协议的Connector和AJP的Connector,默认情况下Tomcat通过8009端口监听AJP协议的Connector,启动Tomcat,查看监听端口,这两个端口都是监听外网的,这也就是漏洞高危的一个原因
而通过幽灵猫漏洞,攻击者可以读取Tomcat下部署的所有webapp目录下的任意文件。同时,如果此应用在网站服务中具备上传功能,攻击者也可以先向服务器端上传一个含有jsp代码的恶意文件(上传文件可以是任意类型,图片、纯文本文件等),然后利用幽灵猫进行文件包含,从而getshell
下面用Tomcat 8.5.50复现漏洞利用
目前众多平台已经有验证代码,运维小伙伴可以下载进行验证
https://github.com/0nise/CVE-2020-1938
https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC
https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/
警告,工具仅建议验证漏洞,切勿用于发起非法攻击,造成后果使用者负责
用其中任意一个POC文件进行验证,读取任意文件
上图是读取WEB-INF下的web.xml文件
在ROOT目录下新建文件test.txt,并用poc读取
修复建议:
1、从利用过程看,必须要连接AJP端口8009,所以可以通过防火墙禁用该端口访问
2、如果未使用AJP协议,可直接将ajp的Connector注释掉
3、通过配置ajp的secretRequired和secret属性来限制认证
4、升级到官方最新版本,下载地址如下: