Webアプリケーションの開発などでよく用いられるJavaの実行環境ソフトウェアApacheTomcatにおいて、

脆弱性の実証コードが多数確認され、誰でも簡単に実行可能な状態であることが明らかになっています。

記事のタイミングが遅くなってしまいましたが、依然、脅威度は高いと思いますので、公開します。

今回の脆弱性は、Apache JServ Protocol (AJP)が通常のWeb通信で用いられるHTTP/HTTPSなどよりも信頼性の高い通信として扱ってしまい、本来アクセスできないサーバ上のコンテンツに、外部からアクセスできてしまうことにあります。

そして、このAJPがデフォルトで有効になっているため、対象のソフトウェアすべてにおいて設定の見直し、もしくはバージョンアップが必要になります。

影響範囲が広い

影響範囲が広く、2010年に公開された7系以降のバージョンすべてが対象になっています。

Apache Tomcat 9.0.0.M1 から 9.0.30
Apache Tomcat 8.5.0 から 8.5.50
Apache Tomcat 7.0.0 から 7.0.99

なお、米国のセキュリティベンダtenableなどによると、Apache Tomcat 6系においてもAJPがデフォルトで有効になっており、同様にして脆弱であることを注意喚起しています。

今回、6系の言及がないのは、すでにApache Tomcat6.xがサポートされていないことによるものだと推測されます。

jp.tenable.com

脆弱性悪用の例

以下のような例も動画で公開されていました。

Apache Tomcat AJP Vulnerability (CNVD-2020-10487/CVE-2020-1938 ) .This vulnerability was discovered by a security researcher of Chaitin Tech .

You can read any webapps files or include a file to RCE .JUST A POC-GIF with no DETAILS

Tomcat has fix this vulnerability ,UPDATE! pic.twitter.com/Jauc5zPF3a
— Henry Chen (@chybeta) 2020年2月20日

ただ、ピンと来なかったので、PoCの一部から抜粋します。

ファイルの読み込み

ここでは、"/WEB-INF/web.xml"を読み込みその結果を表示しています。

このWEB-INF配下のファイルは、通常外部からは見ることができず、外部に公開しない情報はここに格納することが多いです。

https://github.com/00theway/Ghostcat-CNVD-2020-1

ファイルの実行

ここでは、サーバ上のa.txtというファイルに記載した文字列"pwn by 00theway"が実行されている様子がわかります。

これに関連して、セキュリティリサーチャーのツイッター上で、もし、Webサイトでファイルアップロード機能を許可している場合、そのファイルがドキュメントルート内に保存され、AJP ポートに直接到達できれば、外部からの任意のコード実行も可能であると言及しています。

just for clarify: CVE-2020-1938 is NOT a default Remote Code Execution vul. It is a LFI. So, IF you can:
1) upload files via an APP feature &
2) these files are saved inside the document root (eg. webapps/APP/... &
3) reach the AJP port directly;
Thus, it can be turned in RCE.
— Joao Matos (@joaomatosf) 2020年2月21日