Grave Vulnerabilità in Apache Tomcat (GhostCat)
02/24/2020
Proto: N050220.
Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una grave vulnerabilità all’interno dei Apache Tomcat, noto Application Server utilizzato per la realizzazione applicazioni anche in ambienti enterprise. La criticità è nota con l’alias “GhostCat”, referenziata con gli identificativi CVE-2020-1398 e CNVD-2020-10487.
La problematica è causata da lacune nella gestione degli input utente all’interno del connettore AJP (Apache JServ Protocol) di Tomcat, utilizzato per integrare l’application server in architetture bilanciate o a valle di reverse proxy. Tali lacune rendono possibile ad un attaccante remoto privo di autenticazione di prelevare file di configurazione di sistema, permettendogli così di recuperare credenziali amministrative utilizzabili per accedere abusivamente ai server bersaglio, compromettendone i dati e la sicurezza delle reti locali. Inoltre, il connettore AJP risulta abilitato di default nelle configurazioni di Tomcat sulla porta di rete 8009.
Il Manutentore ha risolto la problematica rilasciando nuove versioni di Apache Tomcat 7, 8 e 9, ma non della versione 6 in quanto fuori supporto. In particolare risultano afflitte dalla vulnerabilità le versioni:
- Apache Tomcat 9, 9.0.30 e precedenti
- Apache Tomcat 8, 8.5.50 e precedenti
- Apache Tomcat 7, 7.0.99 e precedenti
- Apache Tomcat 6, tutte le versioni (patch non disponibile, fuori supporto)
Per via della potenziale diffusione di servizi e applicazioni basate su Apache Tomcat, della recente pubblicazione di dettagli tecnici e strumenti volti a sfruttare la vulnerabilità. Yoroi consiglia di limitare l’esposizione di rete del connettore AJP e di applicare gli aggiornamenti resi disponibili dal Manutentore.
Nel caso non sia possibile applicare celermente le patch, Yoroi consiglia di valutarne la disabilitazione del connettore qualora non utilizzato, oppure di proteggere il connettore tramite password attraverso l’inserimento della direttiva “secret” oppure “requiredSecret” all’interno del file di configurazione “/conf/server.xml”.
Figura. Esempio configurazione connettore AJP protetto da password.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index.
