受Ghostcat漏洞波及,多家IT平台软jian接续发布相关修补

先前Tomcat Server被揭露一个名为Ghostcat的漏洞,Apache Tomcat已在2月中旬于官方网站上,针对现行不同版本发布更新修补,近期,则有台湾资安业者TeamT5杜浦数位安全发现,有中国骇客组织疑似利用该漏洞,在台湾校园网站上传BiFrost后门程式,因此呼吁企业与组织要注意此GhostCat漏洞的严重性。值得关注的是,该漏洞也波及多个Linux平台,因而陆续修补,就连商用软体也受影响。

关于这个Ghostcat漏洞(CVE-2020-1938),它在CVSS v3.1的分数是9.8,属于重大风险漏洞,由资安业者长亭科技在2月20日揭露其风险,指出该漏洞存在于Apache JServ Protocol(AJP)中,而若是网站应用提供了文件上传的功能,将导致远端指令执行(RCE)漏洞。

值得注意的是,在Ghostcat漏洞被揭露后,隔没几日,开放原始码资安公司Snyk研究员Brian Vermeer,在2月25日针对Spring Boot伺服器端框架提出警示。这是因为,Spring Boot是广泛使用的伺服器端框架,而它使用了嵌入式Web服务器,当中安装的就是Tomcat,这将导致SpringBoot Web Starter存在风险。

漏洞波及多个Linux平台、云端服务与商用软体
目前Ghostcat漏洞的影响有多大呢?根据W3techs在4月20日的统计调查中,在主流网页伺服器方面,以使用的网站数量而言,Tomcat虽然落后于Apache、Nginx、Cloudflare Server、MicrosoftIIS与Litespeed,不过,以用于高流量网站的角度来看,Tomcat则是上述6者之中最普遍使用的平台。而根据资安公司BinaryEdge在2月底的侦测,在目前的网路上,至少有超过100万个Tomcat Server。

在台湾,这样的情形也要特别注意,之前TeamT5揭露中国骇客疑似利用这个漏洞的攻击事件时,该公司资深经理侯翔龄就曾表示,在他们近期的客户案例中,就在国内多个企业与机关内,发现有数十台TomcatServer,其实都存在Ghostcat漏洞未修补的状况。

更让人关切的是,Tomcat的这个漏洞,其实还会影响到其他产品,而这些产品的修补速度,也引起我们的关注。

首当其冲的,就是多款Linux平台的作业系统,近期有一系列的对应处置。以openSUSE而言,在3月5日到3月27日期间,该平台也陆续针对旗下产品,

发布CVE-2020-1938等漏洞修补的安全公告,多款产品受影响,包括SUSE Linux Enterprise Server、SUSE OpenStack Cloud等众多产品与版本。

Red Hat也有多款产品受影响,他们在3月中旬已经先修补的包括Red Hat Enterprise Linux7/6,与Red Hat JBoss WebServer 3.1等,于4月15日再度修补其他多款产品,但至今还有一些产品尚未完成修补。

还有许多Linux发行版本也受波及,包括Debian Linux、Gentoo Linux,以及Fedora专案,他们陆续在3到4月间,发布相关修补的更新通知。

除了上述作业系统平台用户要注意更新,云端服务的用户也要留意。例如,在微软开发者部落格上,Azure App Service产品经理Jason Freeberg也在3月10日撰文指出,由于在Azure Kubernetes服务、Azure Container Instances(ACI),以及Azure WebApps for containers之中,系统预设都是开启AJP connector,因此他们也提醒用户,需要注意修补及关闭AJP connector。

最近,更有商用软体平台受Ghostcat漏洞影响。例如,在4月15日,行动装置管理平台厂商Blackberry表示,已确认自家产品受此漏洞影响,包括旗下的企业档案安全同步和分享产品BlackBerry Workspaces Server(Appliance-X、vApp)、以及企业行动管理Good Control,他们并已释出软体更新,呼吁用户尽速修补。

对于使用Tomcat AJP的用户,他们建议,在升级到新版的同时,也要将AJP connector设定secret参数,并设定高强度的密码;如果用户本身未使用Tomcat AJP,且又无法更新或是版本老旧,长亭科技也提供了解决办法,那就是关闭AJP connector,或是以防火墙的管控办法,阻挡不信任来源IP位置对于AJP connector的存取。

因此,即使用户没有使用AJP协议,仍有修补工作要进行,而从其他业者对此漏洞的处置建议来看,例如趋势科技与微软,他们也都是建议用户,依长亭科技的修补方式来进行。

对于Ghostcat漏洞的影响,SUSE在最近一个多月期间,陆续针对多款产品发布安全更新。

云端服务的用户也要留意,微软也提醒Ghostcat漏洞在Azure上的影响,并指出由于系统预设都是开启AJP connector,因此提醒用户需要注意修补及关闭AJP connector。

Author: bwh