Các chuyên gia khuyến nghị rằng, nếu các máy chủ web đang chạy Apache Tomcat, thì người dùng cần khẩn trương cài đặt ngay phiên bản mới nhất để ngăn chặn tin tặc chiếm quyền kiểm soát trái phép. Tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong 13 năm qua đều bị ảnh hưởng bởi lỗ hổng này. Do lỗ hổng có thể bị khai thác trong cấu hình mặc định.
Được đặt tên là Ghostcat và gán mã CVE-2020-1938, lỗ hổng có thể cho phép những kẻ tấn công từ xa không xác thực đọc nội dung của bất kỳ tệp nào trên máy chủ web bị tấn công và lấy tệp cấu hình hoặc mã nguồn nhạy cảm hoặc thực thi mã tùy ý nếu máy chủ cho phép tải tệp lên.
Theo công ty an ninh mạng Chaitin Tech (Trung Quốc), lỗ hổng này nằm trong giao thức Apache JServ Protocol (AJP) của phần mềm Apache Tomcat phát sinh do xử lý không đúng một thuộc tính. Giao thức AJP về cơ bản là một phiên bản tối ưu hóa của giao thức HTTP để cho phép Tomcat giao tiếp với máy chủ web Apache.
Mặc dù giao thức AJP được bật mặc định và lắng nghe tại cổng TCP 8009, nhưng nó gán với địa chỉ IP 0.0.0.0 và chỉ có thể được khai thác từ xa khi có thể truy cập từ các máy khách không tin cậy. Theo onyphe - một công cụ tìm kiếm dữ liệu tình báo về mối đe dọa mạng và nguồn mở, có hơn 170.000 thiết bị đang mở AJP Connector cho mọi người thông qua Internet tại thời điểm này.
Các nhà nghiên cứu Chaitin đã tìm thấy và báo cáo lỗ hổng này vào tháng 2/2020 cho dự án Apache Tomcat, dự án hiện đã phát hành các phiên bản Apache Tomcat 9.0.31, 8.5.51 và 7.0.100 để khắc phục vấn đề này. Các phiên bản mới nhất cũng bao gồm bản vá cho 2 lỗ hổng CVE-2020-1935 và CVE-2019-17569.
Các quản trị viên được khuyến nghị nên áp dụng các bản cập nhật phần mềm càng sớm càng tốt và không công khai cổng AJP cho các máy khách không tin cậy. Bởi AJP giao tiếp qua kênh không an toàn và chỉ nên sử dụng trong một mạng tin cậy.
"Người dùng cần lưu ý rằng một số thay đổi đã được thực hiện đối với cấu hình AJP Connector mặc định trong 9.0.31 để làm cứng cấu hình mặc định. Có khả năng, khi người dùng nâng cấp lên phiên bản Apache Tomcat 9.0.31 trở lên, thì sẽ cần thực hiện các thay đổi nhỏ đối với cấu hình của họ", đại diện dự án Apache Tomcat cho biết.
Tuy nhiên, nếu vì một lý do nào đó, người dùng không thể nâng cấp máy chủ web ngay lập tức, thì cũng có thể vô hiệu hóa AJP Connector hoặc thay đổi địa chỉ IP mặc định thành localhost.
Anh Nguyễn (The Hacker News)
16:00 | 11/03/2020
08:00 | 11/09/2020
16:00 | 16/12/2021
10:00 | 10/03/2020
08:00 | 06/03/2020
10:00 | 25/02/2020
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 22/04/2024
