Apache Tomcat: nova vulnerabilidade de alto risco afeta servidores; atualize

Leia com atenção: se o seu servidor web estiver rodando o Apache Tomcat, pare imediatamente e instale a sua versão mais recente. Só assim será possível impedir que hackers assumam controle não-autorizado sobre o seu site ou serviço hospedado online.

Sim, praticamente todos os servidores que rodam o Apache Tomcat nas versões 9, 8, 7 e 6 estão suscetíveis a essa nova vulnerabilidade. Em outras palavras, todas as versões do servidor lançadas nos últimos 13 anos estão vulneráveis, exceto a versão 10, que está livre do problema e é a recomendação para o uso.

O conselho vai além da simples atualização do servidor e inclui a não exposição da porta AJP a clientes não confiáveis por ela se comunicar através de canais inseguros. Se a atualização não for possível, a recomendação é para desativar o AJP Connector diretamente ou alterar seu endereço para um host local.

• Satélites podem facilmente ser manipulados por hackers, alerta pesquisador

O que está acontecendo?

As versões mais antigas do Apache Tomcat foram consideradas vulneráveis ​​a um novo arquivo de alta gravidade (CVSS 9.8), que é um bug de leitura e inclusão. Apelidada de Ghostcat e rastreada como CVE-2020-1938, a falha pode permitir que hackers, de forma remota e não-autenticada, leiam o conteúdo de qualquer arquivo em um servidor web vulnerável e obtenham arquivos de configuração, código-fonte confidencial ou ainda executem um código arbitrário se o servidor permitir o upload de arquivos.

De acordo com a empresa chinesa de segurança cibernética Chaitin Tech, "se o site permitir que os usuários façam upload de um arquivo, o invasor poderá primeiro fazer upload de um arquivo contendo código de script JSP malicioso no servidor (o próprio arquivo carregado pode ser de qualquer tipo, como imagens, arquivos de texto sem formatação, etc.) e incluir o arquivo carregado explorando o Ghostcat, que finalmente pode resultar na execução remota de código."

• Empresa de reconhecimento facial que busca dados em redes sociais é hackeada

Então, nas versões listadas como vulneráveis, o Apache Tomcat trata todas as conexões de entrada como sendo de alta confiança, de forma indistinta, o que permite que hackers e invasores "entrem" em conexões legítimas e, assim, consigam desde manipular arquivos até a executar scripts remotamente.

Há inclusive, no Github - plataforma de hospedagem de código-fonte -, um repositório com exemplos de como a vulnerabilidade funciona, o que muito provavelmente será utilizado por indivíduos mal-intencionados para atacarem servidores desprotegidos.

Ainda segundo os pesquisadores da Chaitin, essa falha foi relatada no mês passado ao projeto Apache Tomcat, que lançou as versões Apache Tomcat 9.0.31 , 8.5.51 e 7.0.100 para corrigir o problema.

• Falha de segurança no Android abre brecha de invasão por Bluetooth

Impactos da vulnerabilidade

Questionado sobre os possíveis impactos da vulnerabilidade, Fernando Amatte, diretor de Cyber Intelligence & Red-Team LATAM da Cipher, explica: "Como essa é uma vulnerabilidade que impacta servidores e provedores de serviços, os impostos aos usuários comuns são em sua maioria, danos colaterais, e isso irá variar de site para site. Os problemas podem ir desde vazamentos de dados confidenciais, até o acesso total ao servidor, dependendo das permissões."

Amatte ainda orienta para reverter uma possível invasão que "se o equipamento já foi enviado, a recomendação é a instalação de um novo servidor, atualização de todos os pacotes e serviços, a validação do código-fonte e banco de dados, e só então o retorno do serviço no ar."

Fonte: The Hacker News