Si su servidor web se ejecuta en Apache Tomcat, debe instalar inmediatamente la última versión disponible de la aplicación del servidor para evitar que los piratas informáticos tomen el control no autorizado.
Sí, eso es posible porque todas las versiones (9.x/8.x/7.x/6.x) de Apache Tomcat lanzadas en los últimos 13 años se han encontrado vulnerables a un nuevo archivo de alta gravedad (CVSS 9.8). error de lectura e inclusión’, que se puede explotar en la configuración predeterminada.
Pero es más preocupante porque también han aparecido en Internet varios exploits de prueba de concepto (1, 2, 3, 4 y más) para esta vulnerabilidad, lo que facilita que cualquiera pueda piratear servidores web vulnerables de acceso público.
Apodado ‘gato fantasma‘y rastreado como CVE-2020-1938la falla podría permitir que atacantes remotos no autenticados lean el contenido de cualquier archivo en un servidor web vulnerable y obtengan archivos de configuración confidenciales o código fuente, o ejecuten código arbitrario si el servidor permite la carga de archivos, como se muestra en un manifestación debajo.
¿Qué es la falla de Ghostcat y cómo funciona?
Según la empresa china de ciberseguridad Chaitin Tech, la vulnerabilidad reside en el protocolo AJP del software Apache Tomcat que surge debido al manejo inadecuado de un atributo.
«Si el sitio permite que los usuarios carguen archivos, un atacante puede cargar primero un archivo que contenga un código de secuencia de comandos JSP malicioso en el servidor (el archivo cargado en sí puede ser de cualquier tipo de archivo, como imágenes, archivos de texto sin formato, etc.), y luego incluir el archivo cargado explotando Ghostcat, lo que finalmente puede resultar en la ejecución remota de código «, dijeron los investigadores.
El protocolo Apache JServ Protocol (AJP) es básicamente una versión optimizada del protocolo HTTP para permitir que Tomcat se comunique con un servidor web Apache.
Aunque el protocolo AJP viene habilitado de forma predeterminada y escucha en el puerto TCP 8009, está vinculado a la dirección IP 0.0.0.0 y solo se puede explotar de forma remota cuando está accesible para clientes que no son de confianza.
Según ‘onyphe’, un motor de búsqueda de datos de inteligencia de amenazas cibernéticas y de código abierto, hay más de 170.000 dispositivos que están exponiendo un Conector AJP a todos a través de Internet, al momento de escribir este artículo.
Vulnerabilidad de Apache Tomcat: parche y mitigación
Los investigadores de Chaitin encontraron e informaron esta falla el mes pasado al proyecto Apache Tomcat, que ahora lanzó las versiones Apache Tomcat 9.0.31, 8.5.51 y 7.0.100 para solucionar el problema.
Las últimas versiones también solucionan otros 2 problemas de contrabando de solicitudes HTTP de baja gravedad (CVE-2020-1935 y CVE-2019-17569).
Se recomienda encarecidamente a los administradores web que apliquen las actualizaciones de software lo antes posible y se les aconseja que nunca expongan el puerto AJP a clientes que no son de confianza porque se comunica a través del canal inseguro y está destinado a ser utilizado dentro de una red confiable.
«Los usuarios deben tener en cuenta que se realizaron una serie de cambios en la configuración predeterminada del conector AJP en 9.0.31 para fortalecer la configuración predeterminada. Es probable que los usuarios que actualicen a 9.0.31 o posterior necesiten realizar pequeños cambios en sus configuraciones como un resultado «, dijo el equipo de Tomcat.
Sin embargo, si, por alguna razón, no puede actualizar su servidor web afectado de inmediato, también puede deshabilitar el conector AJP directamente o cambiar su dirección de escucha a localhost.
