Cảnh báo lỗ hổng thực thi mã từ xa trong Apache Tomcat

Mơ Hồ

Moderator
24/03/2020
11
15 bài viết
Cảnh báo lỗ hổng thực thi mã từ xa trong Apache Tomcat
Apache Tomcat là một máy chủ web HTTP do Apache Software Foundation phát triển và được sử dụng rộng rãi nhất hiện nay. Tuy nhiên, phần mềm này vừa xuất hiện lỗ hổng có thể thực thi mã từ xa CVE-2020-9484.
apache-tomcat-rce-exploit.png
Trên thực tế, cần một số điều kiện nhất định để khai thác được lỗ hổng này. Dưới đây là các điều kiện để có thể khai thác thành công:
  • Kẻ tấn công phải có quyền kiểm soát tên và nội dung các tệp tin trên máy chủ nơi Tomcat đang chạy.
  • Máy chủ phải được cấu hình sử dụng Persistence Manager trong FileStore để duy trì “session”.
  • Phải cấu hình sessionAttributeValueClassNameFilter="null" trong Persistence Manager.
  • Biết được đường dẫn tương đối nơi lưu “session” của FileStore.
Khi đạt được cả bốn điều kiện trên, kẻ tấn công có thể gửi “request” độc hại đến máy chủ dẫn đến RCE (thực thi mã từ xa).

Các phiên bản bị ảnh hưởng:
  • Apache Tomcat 10.x < 10.0.0-M5
  • Apache Tomcat 9.x < 9.0.35
  • Apache Tomcat 8.x < 8.5.55
  • Apache Tomcat 7.x < 7.0.104
Giải Pháp:
Người dùng cần cập nhật phiên bản mới sớm nhất có thể. Đối với người dùng không thể cập nhật có thể tắt tạm thời tính năng FileStore hoặc cấu hình lại giá trị “sessionAttributeValueClassNamefilter” để đảm bảo rằng kẻ tấn công không thể khai thác được.

Nguồn: The Meterpreter
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: makuonlyme
Thẻ
apache cve-2020-9484 hack rce remote code execution tomcat
Bên trên