Inclusion de fichier en local affectant Apache Tomcat

  • Post Author:
  • Post Category:Alertes et Avis

Gestion du document

Origine: bjCSIRT

Numéro: 2020/ALERTE/007

Date de l’alerte: 29/02/2020

TLP: White

 

Aperçu de la menace

Libellée CVE-202-1938, affecte un code du composant Apache JServ Protocol. La manipulation du AJSP Connector avec une entrée inconnue impacte sur la confidentialité, l’intégrité et la disponibilité du serveur Apache.

 

Description

Le protocole Apache JServ Protocol (AJP) est essentiellement une version optimisée du protocole HTTP qui permet à Tomcat de communiquer avec un serveur Web Apache. Bien que le protocole soit activé par défaut et écoute sur le port TCP 8009, il est lié à l’adresse IP 0.0.0.0 et ne peut être exploité à distance que lorsqu’il est accessible à des clients non fiables.

La vulnérabilité réside dans le protocole AJP du logiciel Apache Tomcat qui survient en raison d’une mauvaise manipulation d’un attribut et une inclusion de fichier. De plus, si l’application de site Web permet aux utilisateurs de télécharger un fichier, un attaquant peut d’abord télécharger un fichier contenant un code de script JSP malveillant sur le serveur (le fichier téléchargé lui-même peut être n’importe quel type de fichier, comme des images, des fichiers texte, etc.), puis inclure le fichier téléchargé qui peut finalement entraîner une exécution de code à distance.

 

Impact

En exploitant cette vulnérabilité, un attaquant peut lire le contenu des fichiers de configuration et des fichiers de code source de toutes les webapps déployées sur Tomcat.

 

Mesures à prendre

Apache Tomcat a officiellement publié les versions 9.0.31, 8.5.51 et 7.0.100 pour corriger cette vulnérabilité.

Pour mitiger cette vulnérabilité, vous devez d’abord déterminer si le service Tomcat AJP Connector est utilisé dans votre environnement serveur :

  • Si aucun cluster ou proxy inverse n’est utilisé, vous pouvez essentiellement déterminer que AJP n’est pas utilisé.
  • Sinon, vous devez déterminer si le cluster ou le serveur inversé communique avec le service Tomcat AJP Connector.

Il est fortement recommandé aux administrateurs Web d’appliquer les mises à jour logicielles dès que possible et de ne jamais exposer le port AJP à des clients non fiables car il communique via le canal non sécurisé et est destiné à être utilisé au sein d’un réseau de confiance.

Cependant, si, pour une raison quelconque, vous ne pouvez pas mettre à niveau votre serveur Web affecté immédiatement, vous pouvez également désactiver directement le connecteur AJP ou changer son adresse d’écoute en localhost.

 

Versions affectées

  • Apache Tomcat 6.x : toutes les versions
  • Apache 7 Tomcat 7.x : versions antérieures à 7.0.100
  • Apache 8 Tomcat 8.x : versions antérieures à 8.5.51
  • Apache 9 Tomcat 9.x : versions antérieures à 9.0.31

 

Lien Utiles

  • https://www.chaitin.cn/en/ghostcat
  • https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-112/
  • http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31
  • https://nvd.nist.gov/vuln/detail/CVE-2020-1938
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938
  • https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html?m=1
Partagez sur vos réseaux.