Pemindaian massal untuk server Apache Tomcat yang terpengaruh oleh kerentanan Ghostcat telah terdeteksi selama akhir pekan. Seperti yang dikatakan perusahaan intelijen ancaman cyber, Bad Packets, pada hari Sabtu.
Mass scanning activity targeting this vulnerability has already begun. PATCH NOW! https://t.co/pmEiYd2Rbl
— Bad Packets Report (@bad_packets) February 29, 2020
Ghostcat adalah kerentanan dengan status high risk yang dilacak sebagai CVE-2020-1938 dan hadir dalam Apache JServ Protocol (AJP) dari Apache Tomcat antara versi 6.x dan 9.x.
Pengembang Apache Tomcat telah merilis versi 7.0.100, 8.5.51, dan 9.0.31 untuk memperbaiki kerentanan. Namun, pengguna versi 6.x harus mengupgrade ke versi yang lebih baru karena versi ini sudah mencapai akhir dukungannya dan tidak lagi diperbarui – pembaruan terakhir untuk 6.x dirilis pada 7 April 2017.
PoC Eksploitasi Kerentanan Ghoscat Tersedia Secara Publik
Tenable mengatakan bahwa proof-of-conecpt eksploitasi telah dibagikan oleh peneliti keamanan di GitHub.
- https://github.com/0nise/CVE-2020-1938
- https://github.com/xindongzhuaizhuai/CVE-2020-1938
- https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC
- https://github.com/laolisafe/CVE-2020-1938
- https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
Jika kamu belum sempat untuk memperbarui ke versi Tomcat yang sudah diperbaiki, tim peneliti Chaitin Tech merekomendasikan untuk menonaktifkan AJP Connector jika kamu tidak secara aktif menggunakan atau mengkonfigurasi atribut requiredSecret AJP Connector untuk mengatur otentikasi.
Chaitin Tech juga menyediakan alat assessment untuk menemukan server Tomcat yang rentan terhadap eksploitasi Ghostcat di jaringan kamu.
Menurut Shodan, lebih dari 890.000 server Tomcat saat ini dapat diakses melalui Internet, sementara BinaryEdge menemukan lebih dari 1 juta.
Kerentanan Kritis yang Dapat Menyebabkan Pengambilalihan Server
“Seorang penyerang dapat membaca isi file konfigurasi dan file source-code dari semua aplikasi web yang digunakan di Tomcat.” kata peneliti Chaitin Tech.
“Selain itu, jika aplikasi situs web memungkinkan pengguna mengunggah file, penyerang dapat terlebih dahulu mengunggah file JSP berbahaya ke server (file yang diunggah itu sendiri dapat berupa jenis file apa pun, seperti gambar, file teks biasa, dll.), dan kemudian menyertakan file yang diunggah dengan eksploitasi kerentanan Ghostcat, yang akhirnya dapat mengakibatkan remote-code-execution.“
