
Intensificazione degli Attacchi “GhostCat”
03/02/2020
Proto: N010320.
Con la presente Yoroi desidera aggiornarla relativamente alla vulnerabilità “GhostCat” recentemente scoperta all’interno dei servizi Apache Tomcat, Application Server diffuso anche in ambienti enterprise. La criticità è stata segnalata inizialmente segnalata con il bollettino N050220.
Durante il weekend sono state registrate attività di attacco volte a sfruttare la vulnerabilità sui servizi Tomcat AJP esposti su internet (porta di default 8009). I tentativi di ricognizione volti all’identificazione e allo sfruttamento delle vulnerabilità sono tutt’ora in corso ed in aumento.
Figura. Potenziale esposizione servizi AJP (Fonte:ShodanHQ)
Il Manutentore ha confermato che la problematica affligge i connettori AJP presenti in tutte le versioni Apache Tomcat, ed ha rilasciato patch di sicurezza per le versioni 7, 8 e 9, ma non per la versione 6 in quanto fuori supporto.
A questo proposito Yoroi consiglia di valutare l’eventuale esposizione Internet dei servizi AJP e di seguire le indicazioni di mitigazione segnalate nel bollettino Early Warning N050220.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index.