先前Tomcat Server被披露一个名为Ghostcat的漏洞,Apache Tomcat已在2月中旬于官方网站上,针对现行不同版本发布更新修补,近期,则有台湾安全企业TeamT5杜浦数字安全发现有中国黑客组织疑似利用该漏洞,在台湾校园网站上传BiFrost后门程序,因此呼吁企业与组织要注意此GhostCat漏洞的严重性。值得关注的是,该漏洞也波及多个Linux平台,因而陆续修补,就连商用软件也受影响。
关于这个Ghostcat漏洞(CVE-2020-1938),它在CVSS v3.1的分数是9.8,属于重大风险漏洞,由安全企业长亭科技在2月20日披露其风险,指出该漏洞存在于Apache JServ Protocol(AJP)中,而若是网站应用提供了文件上传的功能,将导致远程指令执行(RCE)漏洞。
值得注意的是,在Ghostcat漏洞被披露后,隔没几日,开放源码安全公司Snyk研究员Brian Vermeer,在2月25日针对Spring Boot服务器端框架提出警示。这是因为,Spring Boot是广泛使用的服务器端框架,而它使用了嵌入式Web服务器,其中安装的就是Tomcat,这将导致SpringBoot Web Starter存在风险。
目前Ghostcat漏洞的影响有多大呢?根据W3techs在4月2 0日的统计调查中,在主流网页服务器方面,以使用的网站数量而言,Tomcat虽然落后于Apache、Nginx、Cloudflare Server、MicrosoftIIS与Litespeed,不过,以用于高流量网站的角度来看,Tomcat则是上述6者之中最普遍使用的平台。而根据安全公司BinaryEdge在2月底的侦测,在目前的网络上,至少有超过100万个Tomcat Server。
在台湾,这样的情形也要特别注意,之前TeamT5披露中国黑客疑似利用这个漏洞的攻击事件时,该公司资深经理侯翔龄就曾表示,在他们近期的客户案例中,就在多个企业与机关内,发现有数十台TomcatServer,其实都存在Ghostcat漏洞未修补的状况。
更让人关切的是,Tomcat的这个漏洞,其实还会影响到其他产品,而这些产品的修补速度,也引起我们的关注。
首当其冲的,就是多款Linux平台的操作系统,近期有一系列的对应处置。以openSUSE而言,在3月5日到3月27日期间,该平台也陆续针对旗下产品,
发布CVE-2020-1938等漏洞修补的安全公告,多款产品受影响,包括SUSE Linux Enterprise Server、SUSE OpenStack Cloud等众多产品与版本。
Red Hat也有多款产品受影响,他们在3月中旬已经先修补的包括Red Hat Enterprise Linux7/6,与Red Hat JBoss WebServer 3.1等,于4月15日再度修补其他多款产品,但至今还有一些产品尚未完成修补。
还有许多Linux发行版本也受波及,包括Debian Linux、Gentoo Linux,以及Fedora项目,他们陆续在3到4月间,发布相关修补的更新通知。
除了上述操作系统平台用户要注意更新,云计算服务的用户也要留意。例如,在微软开发者博客上,Azure App Service产品经理Jason Freeberg也在3月10日撰文指出,由于在Azure Kubernetes服务、Azure Container Instances(ACI),以及Azure WebApps for containers之中,系统默认都是打开AJP connector,因此他们也提醒用户,需要注意修补及关闭AJP connector。
最近,更有商用软件平台受Ghostcat漏洞影响。例如,在4月15日,移动设备管理平台厂商Blackberry表示,已确认自家产品受此漏洞影响,包括旗下的企业文件安全同步和分享产品BlackBerry Workspaces Server(Appliance-X、vApp)、以及企业移动管理Good Control,他们并已发布软件更新,呼吁用户尽快修补。
对于使用Tomcat AJP的用户,他们建议,在升级到新版的同时,也要将AJP connector设置secret参数,并设置高强度的密码;如果用户本身未使用Tomcat AJP,且又无法更新或是版本老旧,长亭科技也提供了解决办法,那就是关闭AJP connector,或是以防火墙的管控办法,阻挡不信任来源IP位置对于AJP connector的访问。
因此,即使用户没有使用AJP协议,仍有修补工作要进行,而从其他企业对此漏洞的处置建议来看,例如趋势科技与微软,他们也都是建议用户,依长亭科技的修补方式来进行。
对于Ghostcat漏洞的影响,SUSE在最近一个多月期间,陆续针对多款产品发布安全更新。
云计算服务的用户也要留意,微软也提醒Ghostcat漏洞在Azure上的影响,并指出由于系统默认都是打开AJP connector,因此提醒用户需要注意修补及关闭AJP connector。