Intensificazione degli Attacchi “GhostCat”

Proto: N010320.

Con la presente Yoroi desidera aggiornarla relativamente alla vulnerabilità “GhostCat” recentemente scoperta all’interno dei servizi Apache Tomcat, Application Server diffuso anche in ambienti enterprise. La criticità è stata segnalata inizialmente segnalata con il bollettino N050220.  

Durante il weekend sono state registrate attività di attacco volte a sfruttare la vulnerabilità sui servizi  Tomcat AJP esposti su internet (porta di default 8009). I tentativi di ricognizione volti all’identificazione e allo sfruttamento delle vulnerabilità sono tutt’ora in corso ed in aumento. 

Figura. Potenziale esposizione servizi AJP (Fonte:ShodanHQ)

Il Manutentore ha confermato che la problematica affligge i connettori AJP presenti in tutte le versioni Apache Tomcat, ed ha rilasciato patch di sicurezza per le versioni 7, 8 e 9, ma non per la versione 6 in quanto fuori supporto. 

A questo proposito Yoroi consiglia di valutare l’eventuale esposizione Internet dei servizi AJP e di seguire le indicazioni di mitigazione segnalate nel bollettino Early Warning N050220.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index.