Cảnh báo lỗ hổng thực thi mã từ xa trong Apache Tomcat

[Mơ Hồ]

Apache Tomcat là một máy chủ web HTTP do Apache Software Foundation phát triển và được sử dụng rộng rãi nhất hiện nay. Tuy nhiên, phần mềm này vừa xuất hiện lỗ hổng có thể thực thi mã từ xa CVE-2020-9484.

​

Trên thực tế, cần một số điều kiện nhất định để khai thác được lỗ hổng này. Dưới đây là các điều kiện để có thể khai thác thành công:

• Kẻ tấn công phải có quyền kiểm soát tên và nội dung các tệp tin trên máy chủ nơi Tomcat đang chạy.
• Máy chủ phải được cấu hình sử dụng Persistence Manager trong FileStore để duy trì “session”.
• Phải cấu hình sessionAttributeValueClassNameFilter="null" trong Persistence Manager.
• Biết được đường dẫn tương đối nơi lưu “session” của FileStore.

Khi đạt được cả bốn điều kiện trên, kẻ tấn công có thể gửi “request” độc hại đến máy chủ dẫn đến RCE (thực thi mã từ xa).

Các phiên bản bị ảnh hưởng:

• Apache Tomcat 10.x < 10.0.0-M5
• Apache Tomcat 9.x < 9.0.35
• Apache Tomcat 8.x < 8.5.55
• Apache Tomcat 7.x < 7.0.104

Giải Pháp:
Người dùng cần cập nhật phiên bản mới sớm nhất có thể. Đối với người dùng không thể cập nhật có thể tắt tạm thời tính năng FileStore hoặc cấu hình lại giá trị “sessionAttributeValueClassNamefilter” để đảm bảo rằng kẻ tấn công không thể khai thác được.

Nguồn: The Meterpreter​