Cảnh báo lỗ hổng thực thi mã từ xa trong Apache Tomcat

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Mơ Hồ, 23/05/20, 10:05 AM.

  1. Mơ Hồ

    Mơ Hồ Moderator Thành viên BQT

    Tham gia: 24/03/20, 12:03 PM
    Bài viết: 13
    Đã được thích: 8
    Điểm thành tích:
    3
    Apache Tomcat là một máy chủ web HTTP do Apache Software Foundation phát triển và được sử dụng rộng rãi nhất hiện nay. Tuy nhiên, phần mềm này vừa xuất hiện lỗ hổng có thể thực thi mã từ xa CVE-2020-9484.
    apache-tomcat-rce-exploit.png
    Trên thực tế, cần một số điều kiện nhất định để khai thác được lỗ hổng này. Dưới đây là các điều kiện để có thể khai thác thành công:
    • Kẻ tấn công phải có quyền kiểm soát tên và nội dung các tệp tin trên máy chủ nơi Tomcat đang chạy.
    • Máy chủ phải được cấu hình sử dụng Persistence Manager trong FileStore để duy trì “session”.
    • Phải cấu hình sessionAttributeValueClassNameFilter="null" trong Persistence Manager.
    • Biết được đường dẫn tương đối nơi lưu “session” của FileStore.
    Khi đạt được cả bốn điều kiện trên, kẻ tấn công có thể gửi “request” độc hại đến máy chủ dẫn đến RCE (thực thi mã từ xa).

    Các phiên bản bị ảnh hưởng:
    • Apache Tomcat 10.x < 10.0.0-M5
    • Apache Tomcat 9.x < 9.0.35
    • Apache Tomcat 8.x < 8.5.55
    • Apache Tomcat 7.x < 7.0.104
    Giải Pháp:
    Người dùng cần cập nhật phiên bản mới sớm nhất có thể. Đối với người dùng không thể cập nhật có thể tắt tạm thời tính năng FileStore hoặc cấu hình lại giá trị “sessionAttributeValueClassNamefilter” để đảm bảo rằng kẻ tấn công không thể khai thác được.

    Nguồn: The Meterpreter
     
    Chỉnh sửa cuối: 16/09/20, 04:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    makuonlyme thích bài này.
  1. HungAP
  2. WhiteHat News #ID:2018
  3. Thriuenug
  4. WhiteHat News #ID:2112
  5. DDos