Apache Tomcatのバックドアの脆弱性

2020/03/01 セキュリティーニュース

Apache Tomcatアプリケーションサーバーで深刻な脆弱性が発見され、脆弱なシステムを制御できる可能性があります。 Ghostcatと呼ばれるこの問題は、過去13年間にリリースされたApache Tomcatのすべてのバージョンに影響します。

 

この脆弱性は、Webサーバーからアプリケーションサーバーへの連携要求の転送を可能にするバイナリプロトコルであるApache JServプロトコル(AJP)に含まれています。 AJPコネクタは、すべてのTomcatサーバーでデフォルトで有効になっており、ポート8009へのリクエストを受け付けます。

 

中国企業のChaitinの専門家によると、Ghostcat(CVE-2020-1938、CNVD-2020-10487)を使用してTomcatサーバーのファイルを読み書きできます。 たとえば、攻撃者は、アプリケーション構成ファイルにアクセスしてパスワードを盗んだり、サーバーのファイルを書き込んだりすることができます(バックドア、Webシェルなど)。 後者は、サーバー上のアプリケーションがファイルのダウンロードを許可している場合にのみ可能です。

 

脆弱性は、次のApache Tomcatのバージョンに影響があります。

Apache Tomcat 9.x <9.0.31

Apache Tomcat 8.x <8.5.51

Apache Tomcat 7.x <7.0.100

Apache Tomcat 6.x

 

2016年に廃止された6.xのバージョンを除き、Tomcat 7.x、Tomcat 8.x、およびTomcat 9.xのリリースに対して修正アップデートが既に利用可能です。 BinaryEdgeの検索結果によると、現在Web上で利用可能なTomcatサーバーは100万を超えています。さらに、GitHubで問題に関する情報が公開されて以来、Ghostcat攻撃のテストと実装のために多くのPoCコード[1、2、3、4、5]がすでに登場しています。

 

Tomcatは、Apache Software Foundationが開発したオープンソースサーブレットコンテナです。サーブレット仕様とJavaServer Pages(JSP)仕様を実装します。 Javaで書かれたTomcatを使用すると、Webベースのアプリケーションを実行でき、自己構成用のプログラムが多数含まれています。

 

記事提供元: http://www.securitylab.ru
翻訳: Kazunori Yoshida