Ghostcat-Angriff: Neue Schwachstelle in Apache-Tomcat bedroht Web-Administratoren

Wenn Ihr Webserver auf Apache Tomcat läuft, müssen Sie sofort die neueste verfügbare Version der Serveranwendung installieren, damit Hacker keine unbefugte Kontrolle darüber erlangen können.

Veröffentlicht: 2. März 2020

Ghostcat-Angriff: Neue Schwachstelle in Apache-Tomcat bedroht Web-Administratoren

Dies ist möglich, weil alle Versionen (9.x/8.x/7.x/6.x) des Apache Tomcat, die in den letzten 13 Jahren veröffentlicht wurden, für einen neuen, hochgradig kritischen Sicherheitsfehler (CVSS 9.8) "Read and Enable Files" verwundbar sind, der in der Standardkonfiguration ausgenutzt werden kann.

Es wurde sind bereits mehrere Exploits im Internet aufgetaucht, wodurch es auch Laien ermöglicht wird, sich in öffentlich zugängliche, anfällige Webserver zu hacken.

Ghostcat (CVE-2020-1938) ermöglicht es entfernten Angreifern, den Inhalt jeder Datei auf dem anfälligen Webserver zu lesen und vertrauliche Konfigurationsdateien oder Quellcode auszulesen oder beliebigen Code auszuführen, wenn der Server das Herunterladen der Dateien erlaubt, wie im Demo-Beispiel unten gezeigt.

PoC-Exploit für Ghostcat

Das Apache JServ Protocol (AJP) ist im Wesentlichen eine optimierte Version des HTTP-Protokolls, die es Tomcat ermöglicht, mit dem Apache-Webserver zu kommunizieren.

Obwohl AJP standardmäßig aktiviert ist und auf dem TCP-Port 8009 lauscht, ist es an die IP-Adresse 0.0.0.0 gebunden und kann nur aus der Ferne verwendet werden, wenn es für nicht vertrauenswürdige Clients verfügbar ist.

Wir verzeichnen aktuell über 170.000 Geräte, die den AJP-Connector für alle Nutzer über das Internet öffentlich zugänglich machen.

Web-Administratoren wird dringend empfohlen, die durch den Hersteller bereitgestellten Software-Updates so schnell wie möglich durchzuführen und den AJP-Port niemals nicht vertrauenswürdigen Clients auszusetzen, da er über einen unsicheren Kanal kommuniziert und für die Verwendung in einem vertrauenswürdigen Netzwerk vorgesehen ist.

Nächster Artikel

Hacker nutzen Corona-Virus für Phishing-Attacken

In den letzten Wochen haben Sicherheitsfirmen Hacker in Japan blockiert, die versuchten, Malware per E-Mail zu verbreiten, mit Links zu einem Coronavirus-Ausbruch, der im Januar 2020 in Wuhan, China, begann.

Weiterlesen