Se encontró una vulnerabilidad en los archivos que usan conexiones AJP; por lo tanto, un atacante remoto puede explotar esta vulnerabilidad con el fin de leer los archivos de un servidor web que se encuentre vulnerable, en el caso que el server permita la subida de archivos por este medio el intruso podrá cargar código da paginas JavaServer (JSP) y así ejecutar remotamente código (RCE).
Versiones afectadas:
9.0.0.M1 – 9.0.0.30
8.5.0 – 8.5.50
7.0.0 – 7.0.99
Solución 1
Bloquee el puerto AJP (recomendado)
Bloquee el puerto 8009 de Apache JServ Protocol (AJP) para las conexiones entrantes en su firewall:
En Windows
Aunque Windows Server por default bloquea este puerto, el usuario puede crear una regla en el firewall para bloquear este PTO específicamente, en el caso que use un firewall externo bloquee las conexiones entrantes al PTO 8009.
En su servidor y con privilegios de administrador, ejecute el comando:

netstat -ano | findstr 8009

En Linux
Confirme que este bloqueado el puerto 8009 utilizando su producto de seguridad o mediante la utilidad iptables de Linux.
Para asegurarse que el puerto se encuentra abierto o cerrado, use el comando:

ss -a | grep 8009

Para bloquearlo, si usa iptables, ejecute el siguiente comando como root:

siptables -A INPUT -j DROP --destination-port 8009

Solución 2
Deshabilite el conector AJP
En caso de ser necesario seguir usando el PTO 8009, deshabilite el conector AJP, en la configuración del Tomcat.
– Abra la configuración del Tomcat para editarla:
En Windows

C:\Program Files\Apache Software Foundation\[ Tomcat folder ]\conf\server.xml

En linux

/etc/tomcat9/server.xml

En estos archivos se debe buscar el 8009 y comentar la línea acerca del protocolo AJP.

– Guarde los cambios.
– Reinicie el servicio Apache Tomcat
Reiniciar en Windows
Presione la tecla de Windows + R, escriba services.msc y luego oprima Enter.
Busque el servicio Apache Tomcat y reinícielo.
Reinicie el Servicio en Linux

Debian:

sudo service tomcat9 restart

CentOS, Red Hat y Fedora:

sudo service tomcat restart

Solución 3
Actualice manualmente Apache Tomcat hacia una versión no afectada o posterior. Tenga cuidado en la actualización ya que pueden perderse algunas configuraciones del Tomcat “Esta actualización debe realizarla un usuario experto”
Referencias.
https://www.tenable.com/plugins/nessus/134862
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938
https://www.bleepingcomputer.com/news/security/active-scans-for-apache-tomcat-ghostcat-vulnerability-detected-patch-now/

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like