0x00 漏洞編号
CVE-2020-1938
CNVD-2020-10487
0x01 漏洞概述
Tomcat是由Apache軟件基金會屬下Jakarta項目開發的(de)Servlet容器,按照Sun Microsystems提供的(de)技術規範,實現了對Servlet和(hé)JavaServer Page(JSP)的(de)支持。由于Tomcat本身也內(nèi)含了HTTP服務器,因此也可(kě)以視(shì)作單獨的(de)Web服務器。
AJP協議是Tomcat為(wèi)了動靜資源處理(lǐ)分離(lí)時,通過該協議可(kě)以将css、js等靜态資源請求轉發到Apache的(de)http服務器處理(lǐ),提高(gāo)并發量。
而本次漏洞被稱作 Ghostcat(幽靈貓),其産生的(de)原因是由于AJP 協議存在實現缺陷導緻相關參數可(kě)控,攻擊者通過AJP協議端口利用該漏洞進行(xíng)文件讀取或包含Tomcat上所有(yǒu) webapp 目錄下的(de)任意文件,如(rú)Webapp 配置文件、源代碼等。
0x02 漏洞詳情
Tomcat默認配置(conf/server.xml)中開啓2個Connector,一(yī)個是8080端口對外提供HTTP協議,另一(yī)個是8009 端口對外提供AJP協議,兩個端口默認開啓。
在接收到AJP請求的(de)時候,發現java/org/apache/coyote/ajp/AjpProcessor.java中的(de) prepareRequest() 函數的(de)功能是對 AJP 協議進行(xíng)解析,可(kě)以發現在處理(lǐ) Constants.SC_A_REQ_ATTRIBUTE這部分內(nèi)容時,代碼中未進行(xíng)內(nèi)容校驗,就将AJP裏面的(de)內(nèi)容取出來設置成request對象的(de)Attribute屬性。因此,我們(men)可(kě)以修改AJP請求的(de)屬性,進而控制request對象的(de)下面三個Attribute屬性,實現文件讀取。
0x03 影響版本
Tomcat 6.*
Tomcat 7.* < 7.0.100
Tomcat 8.* < 8.5.51
Tomcat 9.* < 9.0.31
0x04 自(zì)檢測試
1.在web管理(lǐ)頁面左上方可(kě)查看當前所使用的(de)Tomcat版本,若當前版本在受影響範圍內(nèi),則可(kě)能存在安全風險。2. Github上已經出現在野漏洞Poc,可(kě)以用該Poc測試是否存在漏洞,更加準确。地(dì)址:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi(注意:python版本為(wèi)2.x,如(rú)果使用python3需要更改部分代碼)
0x05 處置建議
1.官方已發布針對此漏洞的(de)修複方案,Tomcat 6 已經停止維護:https://tomcat.apache.org/download70.cgihttps://tomcat.apache.org/download80.cgihttps://tomcat.apache.org/download-90.cgi
為(wèi)AJP Connector配置secret來設置 AJP 協議的(de)認證憑證(注意必須将YOUR_TOMCAT_AJP_SECRET更改為(wèi)一(yī)個安全性高(gāo)、無法被輕易猜解的(de)值)。
禁用AJP協議端口,在conf/server.xml配置文件中注釋,并重啓Tomcat服務。
0x06 時間線
2020/01/03:長(cháng)亭科(kē)技向 Apache Tomcat 官方提交漏洞
2020/02/11:Apache Tomcat 官方發布 9.0.31、8.5.51 安全更新版本
2020/02/14:Apache Tomcat 官方發布 7.0.100 安全更新版本
2020/02/20:CNVD 發布安全通告
2020/02/20:長(cháng)亭科(kē)技發布漏洞風險提示
0x07 參考鏈接
https://www.cnvd.org.cn/webinfo/show/5415
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner