Các chuyên gia khuyến nghị rằng, nếu các máy chủ web đang chạy Apache Tomcat, thì người dùng cần khẩn trương cài đặt ngay phiên bản mới nhất để ngăn chặn tin tặc chiếm quyền kiểm soát trái phép. Tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong 13 năm qua đều bị ảnh hưởng bởi lỗ hổng này. Do lỗ hổng có thể bị khai thác trong cấu hình mặc định.
Được đặt tên là Ghostcat và gán mã CVE-2020-1938, lỗ hổng có thể cho phép những kẻ tấn công từ xa không xác thực đọc nội dung của bất kỳ tệp nào trên máy chủ web bị tấn công và lấy tệp cấu hình hoặc mã nguồn nhạy cảm hoặc thực thi mã tùy ý nếu máy chủ cho phép tải tệp lên.
Theo công ty an ninh mạng Chaitin Tech (Trung Quốc), lỗ hổng này nằm trong giao thức Apache JServ Protocol (AJP) của phần mềm Apache Tomcat phát sinh do xử lý không đúng một thuộc tính. Giao thức AJP về cơ bản là một phiên bản tối ưu hóa của giao thức HTTP để cho phép Tomcat giao tiếp với máy chủ web Apache.
Mặc dù giao thức AJP được bật mặc định và lắng nghe tại cổng TCP 8009, nhưng nó gán với địa chỉ IP 0.0.0.0 và chỉ có thể được khai thác từ xa khi có thể truy cập từ các máy khách không tin cậy. Theo onyphe - một công cụ tìm kiếm dữ liệu tình báo về mối đe dọa mạng và nguồn mở, có hơn 170.000 thiết bị đang mở AJP Connector cho mọi người thông qua Internet tại thời điểm này.
Các nhà nghiên cứu Chaitin đã tìm thấy và báo cáo lỗ hổng này vào tháng 2/2020 cho dự án Apache Tomcat, dự án hiện đã phát hành các phiên bản Apache Tomcat 9.0.31, 8.5.51 và 7.0.100 để khắc phục vấn đề này. Các phiên bản mới nhất cũng bao gồm bản vá cho 2 lỗ hổng CVE-2020-1935 và CVE-2019-17569.
Các quản trị viên được khuyến nghị nên áp dụng các bản cập nhật phần mềm càng sớm càng tốt và không công khai cổng AJP cho các máy khách không tin cậy. Bởi AJP giao tiếp qua kênh không an toàn và chỉ nên sử dụng trong một mạng tin cậy.
"Người dùng cần lưu ý rằng một số thay đổi đã được thực hiện đối với cấu hình AJP Connector mặc định trong 9.0.31 để làm cứng cấu hình mặc định. Có khả năng, khi người dùng nâng cấp lên phiên bản Apache Tomcat 9.0.31 trở lên, thì sẽ cần thực hiện các thay đổi nhỏ đối với cấu hình của họ", đại diện dự án Apache Tomcat cho biết.
Tuy nhiên, nếu vì một lý do nào đó, người dùng không thể nâng cấp máy chủ web ngay lập tức, thì cũng có thể vô hiệu hóa AJP Connector hoặc thay đổi địa chỉ IP mặc định thành localhost.
Anh Nguyễn (The Hacker News)
16:00 | 11/03/2020
08:00 | 11/09/2020
16:00 | 16/12/2021
10:00 | 10/03/2020
08:00 | 06/03/2020
10:00 | 25/02/2020
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
14:00 | 22/08/2024
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
10:00 | 31/07/2024
Mới đây, tin tặc đã phát tán tài liệu nội bộ liên quan đến các cơ quan trọng yếu của Mỹ như Bộ Quốc phòng, Bộ An ninh Nội địa, Cơ quan Hàng không và Vũ trụ (NASA). Theo đó, tài liệu nội bộ bị đánh cắp từ Leidos Holdings, một trong những nhà cung cấp dịch vụ công nghệ thông tin lớn nhất của Chính phủ Mỹ.
14:00 | 10/07/2024
Juniper Networks đã phát hành bản cập nhật bảo mật mới để giải quyết một lỗ hổng bảo mật nghiêm trọng có thể dẫn đến việc bỏ qua xác thực trong một số bộ định tuyến của hãng.
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
10:00 | 27/10/2024