CVE

0X1?漏洞概述

日前，長(zhǎng)亭科技安全研究人員全球首次發(fā)現(xiàn)了一個(gè)存在于流行服務(wù)器 Tomcat 中的文件讀取/包含漏洞，并第一時(shí)間提交廠商修復(fù)。?

2月14日，Apache Tomcat 官方發(fā)布安全更新版本，修復(fù)漏洞。2月20日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布安全公告，該漏洞綜合評(píng)級(jí)為高危，漏洞編號(hào)為CNVD-2020-10487，CVE 編號(hào) CVE-2020-1938。

漏洞影響范圍包括

Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.31

0X2 環(huán)境搭建

在官方網(wǎng)站上下載源碼

http://archive.apache.org/dist/tomcat/?

https://github.com/apache/tomcat/releases

下載完成之后，放置在任意目錄下，并安裝好Java環(huán)境，這里不在贅述。

配置完成之后，啟動(dòng)服務(wù)

瀏覽器訪問

環(huán)境搭建完成。

0X3?漏洞分析

Tomcat服務(wù)器通過Connector連接器組件與客戶程序建立連接，“連接器”表示接收請(qǐng)求并返回響應(yīng)的端點(diǎn)。即Connector組件負(fù)責(zé)接收客戶的請(qǐng)求，以及把Tomcat服務(wù)器的響應(yīng)結(jié)果發(fā)送給客戶。

Tomcat默認(rèn)在其配置文件server.xml中配置了兩種connector：

HTTP connector配置如下，它監(jiān)聽8080端口，負(fù)責(zé)建立HTTP連接。在通過瀏覽器訪問Tomcat服務(wù)器的Web應(yīng)用時(shí)，使用的就是這個(gè)，這里我改成了8000端口。

AJP連接器可以通過AJP協(xié)議和另一個(gè)web容器進(jìn)行交互。它監(jiān)聽8009端口，負(fù)責(zé)和其他的HTTP服務(wù)器建立連接。在把Tomcat與其他HTTP服務(wù)器集成時(shí)，就需要用到這個(gè)連接器。AJP連接器可以通過AJP協(xié)議和一個(gè)web容器進(jìn)行交互。

默認(rèn)情況下，tomcat配置完成后，在conf/server.xml文件中AJP connector服務(wù)在8009端口監(jiān)聽

在tomcat服務(wù)啟動(dòng)后，查看本地端口，可以發(fā)現(xiàn)8009端口已經(jīng)處于監(jiān)聽狀態(tài)

通過Gh0stcat漏洞，攻擊者可以讀取Tomcat下部署的所有webapp目錄下的任意文件。同時(shí)，如果此應(yīng)用在網(wǎng)站服務(wù)中具備上傳功能，攻擊者也可以先向服務(wù)端上傳一個(gè)含有JSP代碼的惡意文件(上傳文件可以是任意類型，圖片、純文本文件等)，然后利用Gh0stcat進(jìn)行文件包含，從而達(dá)到代碼執(zhí)行的危害。

0X4?漏洞利用

該漏洞從昨天爆出之后，在眾多平臺(tái)上已經(jīng)有了驗(yàn)證代碼，如下

https://github.com/0nise/CVE-2020-1938 https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/

使用其中任意一個(gè)POC文件進(jìn)行驗(yàn)證，讀取WEB-INF/web.xml文件

讀取ROOT目錄下的build.xml文件內(nèi)容

可以看到，均可以成功讀取。

0X5?加固修復(fù)

1. ? 如未使用Tomcat AJP協(xié)議：

如未使用 Tomcat AJP 協(xié)議，可以直接將 Tomcat 升級(jí)到 9.0.31、8.5.51或 7.0.100 版本進(jìn)行漏洞修復(fù)。

如無(wú)法立即進(jìn)行版本更新、或者是更老版本的用戶，建議直接關(guān)閉AJPConnector，或?qū)⑵浔O(jiān)聽地址改為僅監(jiān)聽本機(jī)localhost。

具體作：

（1）編輯 /conf/server.xml，找到如下行（ 為 Tomcat 的工作目錄）：

（2）將此行注釋掉（也可刪掉該行）：

（3）保存后需重新啟動(dòng)，規(guī)則方可生效。

2. ? 如果使用了Tomcat AJP協(xié)議：

建議將Tomcat立即升級(jí)到9.0.31、8.5.51或7.0.100版本進(jìn)行修復(fù)，同時(shí)為AJP Connector配置secret來(lái)設(shè)置AJP協(xié)議的認(rèn)證憑證。例如（注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值）：

如無(wú)法立即進(jìn)行版本更新、或者是更老版本的用戶，建議為AJPConnector配置requiredSecret來(lái)設(shè)置AJP協(xié)議認(rèn)證憑證。例如（注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值）：

0X6?參考鏈接

https://github.com/0nise/CVE-2020-1938

https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC

https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner

https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/

https://www.cnvd.org.cn/webinfo/show/5415

https://mp.weixin.qq.com/s/D1hiKJpah3NhEBLwtTodsg

文由微信公眾號(hào)安全漏洞環(huán)境學(xué)習(xí)