La faille GhostCat affecte les serveurs Apache Tomcat

Une nouvelle faille de sécurité nommée GhostCat a été découverte et affecte les serveurs Apache Tomcat.

Si votre serveur Web utilise Apache Tomcat, vous devez immédiatement installer la dernière version disponible pour empêcher aux pirates informatiques de prendre le contrôle de votre serveur.

Toutes les versions (9.x / 8.x / 7.x / 6.x) d’Apache Tomcat distribuées au cours des 13 dernières années se sont révélées vulnérables à Ghostcat, une nouvelle faille de lecture et d’inclusion de fichiers de haute gravité (CVSS 9.8), qui pourrait être exploité dans la configuration par défaut.

Mais ce qui est préoccupant c’est que plusieurs exploits et preuves de concept (1, 2, 3, 4 et plus) pour la faille de sécurité Ghostcat ont également été révélés sur la toile, ce qui permet à quiconque de pirater facilement des serveurs Web vulnérables accessibles au public.

Surnommé ‘Ghostcat‘ et identifié comme CVE-2020-1938, la faille pourrait permettre à des hackers distants non authentifiés de lire le contenu de n’importe quel fichier sur un serveur Web vulnérable et d’obtenir des fichiers de configuration ou du code source sensible, ou encore d’exécuter du code arbitraire si le serveur autorise l’envoi de fichier, comme indiqué dans la démonstration plus bas.

Apache Tomcat est un conteneur web libre de servlets et JSP Java EE. Issu du projet Jakarta, c’est un des nombreux projets de l’Apache Software Foundation. Il implémente les spécifications des servlets et des JSP du Java Community Process, est paramétrable par des fichiers XML et des propriétés, et inclut des outils pour la configuration et la gestion. Il comporte également un serveur HTTP.

Tomcat est un serveur HTTP à part entière. De plus, il gère les servlets et les JSP (par un compilateur Jasper compilant les pages JSP pour en faire des servlets). Tomcat a été écrit en langage Java. Il peut donc s’exécuter via la machine virtuelle Java sur n’importe quel système d’exploitation la supportant.

Qu’est ce que la faille GhostCat et comment fonctionne-t-elle?

Selon la société de sécurité informatique chinoise Chaitin Tech, la vulnérabilité Ghostcat réside dans le protocole AJP du logiciel Apache Tomcat et est causée par la mauvaise manipulation d’un attribut.

“Si le site autorise les utilisateurs à envoyer un fichier, un pirate peut d’abord déposer un fichier contenant du code de script JSP(JavaServer Pages) malveillant sur le serveur (le fichier envoyé peut être de n’importe quel type, comme des images, des fichiers texte, etc.), et exploité Ghostcat, ce qui entraîne l’exécution de code à distance “, ont déclaré les chercheurs.

Le protocole Apache JServ Protocol (AJP) est essentiellement une version optimisée du protocole HTTP qui permet à Tomcat de communiquer avec un serveur Web Apache.

ghostcat

Bien que le protocole AJP soit activé par défaut et écoute sur le port TCP 8009, il est lié à l’adresse IP 0.0.0.0 et ne peut être exploité à distance que lorsqu’il est accessible à des clients non fiables.

Selon ‘onyphe”, un moteur de recherche de données open source et de renseignements sur les cybermenaces, il y’a plus de 170 000 appareils avec un connecteur AJP exposé.

Faille de sécurité Ghostcat: patch et mitigation

Les chercheurs de Chaitin ont découvert et signalé la faille Ghostcat au projet Apache Tomcat au mois de Janvier, qui a maintenant distribué les versions Apache Tomcat 9.0.31, 8.5.51 et 7.0.100 pour patcher le problème.

Ces dernières versions patchent également 2 autres failles de sécurité de faible gravité (CVE-2020-1935 et CVE-2019-17569) concernant les requêtes HTTP.

apache tomcat

Il est fortement recommandé aux administrateurs Web d’appliquer les mises à jour logicielles dès que possible et de ne jamais exposer le port AJP car il communique via un canal non sécurisé et est destiné à être utilisé au sein d’un réseau de confiance.

“Les utilisateurs doivent savoir qu’un certain nombre de modifications ont été apportées à la configuration par défaut du connecteur AJP dans 9.0.31 pour sécuriser la configuration par défaut. Il est probable que les utilisateurs effectuant une mise à niveau vers 9.0.31 ou une version ultérieure devront apporter de petites modifications à leurs configurations”, a déclaré l’équipe Tomcat.

Cependant, si, pour une raison quelconque, vous ne pouvez pas mettre à niveau votre serveur Web vulnérable immédiatement, vous pouvez également désactiver directement le connecteur AJP ou changer son adresse d’écoute dans localhost.

L’année dernière une faille permettant d’exécuter du code arbitraire à distance avait été découverte sur Apache Tomcat.

Si cet article sur la faille Ghostcat vous a plu, jetez un œil à notre article précédent.