“幽灵猫”浮现网络空间,长亭科技曝Tomcat高危漏洞威胁

日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Apache Tomcat 中的文件读取/包含漏洞, 并第一时间提交厂商修复。据悉,该漏洞已潜伏十多年之久却一直未被发现,危害极大并可被攻击者利用,造成企业大规模数据泄漏。长亭科技安全研究人员将此漏洞命名为“幽灵猫(Ghostcat)”。

2月14日,Apache Tomcat(以下简称 Tomcat) 官方发布安全更新版本,修复漏洞。2月20日,国家信息安全漏洞共享平台(CNVD)联合长亭科技发布安全公告,该漏洞综合评级为高危,漏洞 CVE 编号 CVE-2020-1938。长亭科技已将幽灵猫 (Ghostcat)相关威胁细节公布,提醒广大企业用户及时修复,降低风险。

Tomcat 是当前最流行的 Java 中间件服务器之一,而Java 是目前 Web 开发中最主流的编程语言,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。此次被发现的幽灵猫(Ghostcat)漏洞,经过研究人员确认,其影响范围覆盖全版本默认配置下的 Tomcat,这意味着它在 Tomcat 里已经潜伏了长达十多年的时间。

据网络空间搜索引擎FOFA的数据显示,过去一年内,全球范围内公网上活跃使用Tomcat软件的数量近300万,其中开放的AJP服务端端口数量为40多万。而这还仅仅是公网数据,如果加上各种企业内网的使用,据不完全统计,受到该漏洞的影响的主机数量可能达到千万级。

由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 下部署的所有 webapp 的配置文件或 jsp/jar/class 等源码文件。网站配置文件经常含有诸如数据库、邮箱服务器账号密码等敏感信息,这也就意味着,一旦攻击者获取这些信息,就有可能造成整个企业的重要核心数据被窃取。此外,如果网站应用提供文件上传的功能,攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 幽灵猫 (Ghostcat )漏洞进行文件包含,从而达到远程代码执行,进一步获取服务器权限等危害。

“幽灵猫对企业内网安全可造成较大的影响。Web应用或组件的攻击面大多来自HTTP协议,此次的漏洞发生在AJP协议中,该协议较少引起重视,这使得漏洞对企业内网可能造成的影响变得更加不可控。”长亭科技联合创始人、首席安全研究员杨坤博士对疫情特殊时期的应急响应表示担忧。“我们已及时将可靠的解决方案输出给客户,并提供免费扫描工具帮助企业及时发现问题,尽量降低在疫情期间人力不足情况导致的安全风险。”

在杨坤看来,在该漏洞还没有造成更多损失之前,广大企业应更多关注攻击面的收敛工作,尽可能关闭未使用的协议或端口。同时杨坤也提醒广大企业,已经有研究人员放出漏洞利用的代码,建议大家尽快针对此漏洞完成应急响应流程。

针对此次幽灵猫(Ghostcat)漏洞可能造成的安全风险,长亭科技为企业用户和个人用户提供在线监测、检测工具下载和应急服务(027-59760362),建议可能受此漏洞影响的企业和个人立即进行有针对性的自查。


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 2、回复“6G31”免费领取《基于云网融合的6G关键技术白皮书
  • 3、回复“IM6G”免费领取《6G典型场景和关键能力白皮书
  • 4、回复“SPN2”免费领取《中国移动SPN2.0技术白皮书
  • 5、回复“LTKJ7”免费领取《联通科技周17本白皮书合集
  • 6、回复“5g-a”免费领取《中国联通5G-A通感算融合技术白皮书
  • 7、回复“URLLC”免费领取《中国联通5GURLLC技术白皮书
  • 8、回复“LDSL”免费领取《中国移动算力网络技术白皮书
  •   最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子