Tomcat Ghostcat漏洞复现及修复

近日，长亭科技安全研究人员发现了一个存在于流行服务器Tomcat中的文件读取/包含漏洞，此漏洞命名为“幽灵猫”

由于Tomcat使用范围广，且该漏洞已潜伏十年之久，危害极大，且容易被攻击者利用，造成企业大规模数据泄露

该漏洞由长亭科技第一时间提交厂商修复，2月14日，Apache Tomcat官方发布安全更新版本，修复漏洞，2月20日，国家信息安全漏洞共享平台(CNVD)发布安全公告，该漏洞综合评级为高危，漏洞CVE编号CVE-2020-1938

漏洞影响范围：

• Apache Tomcat 6
• Apache Tomcat 7 < 7.0.100
• Apache Tomcat 8 < 8.5.51
• Apache Tomcat 9 < 9.0.31

该漏洞主要由AJP连接器引起，连接器是Tomcat最核心的两个组件之一，主要职责就是负责接收客户端连接和客户端请求的处理加工，每个Connector(连接器)都将指定一个端口进行监听，分别负责对请求报文的解析和响应报文组装，解析过程生成Request对象，而组装过程设计Response对象

在Tomcat中常见的连接器协议有两种，分别就是HTTP协议和AJP协议

上面两个图，分别就是HTTP协议的Connector和AJP的Connector，默认情况下Tomcat通过8009端口监听AJP协议的Connector，启动Tomcat，查看监听端口，这两个端口都是监听外网的，这也就是漏洞高危的一个原因

而通过幽灵猫漏洞，攻击者可以读取Tomcat下部署的所有webapp目录下的任意文件。同时，如果此应用在网站服务中具备上传功能，攻击者也可以先向服务器端上传一个含有jsp代码的恶意文件(上传文件可以是任意类型，图片、纯文本文件等)，然后利用幽灵猫进行文件包含，从而getshell

下面用Tomcat 8.5.50复现漏洞利用

目前众多平台已经有验证代码，运维小伙伴可以下载进行验证

https://github.com/0nise/CVE-2020-1938

https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC

https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner

https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/

警告，工具仅建议验证漏洞，切勿用于发起非法攻击，造成后果使用者负责

用其中任意一个POC文件进行验证，读取任意文件

上图是读取WEB-INF下的web.xml文件

在ROOT目录下新建文件test.txt，并用poc读取

修复建议：

1、从利用过程看，必须要连接AJP端口8009，所以可以通过防火墙禁用该端口访问

2、如果未使用AJP协议，可直接将ajp的Connector注释掉

3、通过配置ajp的secretRequired和secret属性来限制认证

4、升级到官方最新版本，下载地址如下：

• https://tomcat.apache.org/download-70.cgi
• https://tomcat.apache.org/download-80.cgi
• https://tomcat.apache.org/download-90.cgi
• 或Github下载：https://github.com/apache/tomcat/releases