ພົບຊ່ອງໂຫວ່ອາຍຸກວ່າ 10 ປີ ‘Ghostcat’ ໃນ Apache Tomcat

CVE-2020-1938 ຫລື Ghostcat ເປັນ​ຊ່ອງ​ໂຫວ່​ໃນ​ໂປຣໂຕຄອນ Tomcat AJP ໂດຍ AJP ຫຍໍ້​ມາ​ຈາກ Apache JServe Protocol ຖືກ​ອອກ​ແບບ​ມາ​ເພື່ອ​ຊ່ວຍ​ເພີ່ມ​ປະ​ສິດ​ທິ​ພາບ​ດ້ວຍ​ການເຮັດ Proxy Request ຂາ​ເຂົ້າ​ຈາກ​ເວັບ​ເ​ຊີເວີ​ໄປ​​ຍັງ​ແອັບ​ພລິ​ເຄ​ຊັນ​ເຊີ​ເວີ ທັງ​ນີ້ Tomcat ໄດ້​ມີ​ການ​ເປີດ​ໃຊ້​ງານ AJP ເພື່ອ​ໃຊ້​ແລກ​ປ່ຽນ​ຂໍ້​ມູນ​ກັບ Apache HTTPD ເທິງ​ເວັບ​ເຊີ​ເວີ​ແລະ Instance ​ຕົວ​ອື່ນ​ໆ ​ເຊິ່ງ Default ຈະ​ເປີດ​ໄວ້​ສະເໝີ​ທີ່ພອດ 8009

ສຳລັບ Ghostcat ນັ້ນ​ຈະ​ຊ່ວຍ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ເຂົ້າໄປລັກ​ອ່ານ​ຫລື​ຂຽນ​ໄຟ​ເທິງເຊີ​ເວີ Tomcat ໄດ້ ເຊັ່ນ: ໄປ​ອ່ານ​ໄຟ​ຄອນ​ຟິກ​ຫລື​ລັກ API Token, ລັກ​ຂຽນ​ໄຟເທິງ​ເ​ຊິ​ເວີ (ຫາກ​ເຊີ​ເວີ​ເປີດ​ໃຫ້​ຜູ້​ໃຊ້ສາມາດ​ອັບ​ໂຫຼດ​ໄຟໄດ້)

ການປ້ອງ​ກັນ

ປັດຈຸບັນ​ມີ​ການ​​ແພ໊ດ​ອັບ​ເດດ​ອອກ​ມາ​ແລ້ວ​ສຳລັບ​ເວີ​ຊັນ 7.x, 8.x ແລະ 9.x ແຕ່​ບໍ່​ມີ​​ແພ໊ດ​ສຳລັບ 6.x ເພາະ​ໝົດ​ອາ​ຍຸໄປ​ຕັ້ງ​ແຕ່​ປີ 2016 (6.x ອອກ​ມາ​ດົນ​ກວ່າ 10 ປີ​ແລ້ວ ສະແດງ​ວ່າ​ທີ່​ຜ່ານມາ​ມີ​ຊ່ອງ​ໂຫວ່​ຢູ່​ຕະຫຼອດ) ທັງ​ນີ້​ຜູ້​ຊ່ຽວ​ຊານ​ຈາກ Chaitin Tech ໄດ້​ແຈກ​ເຄື່ອງ​ມື​ກວດ​ສອບ​ຂອງ​ຕົນ​ເອົາ​ໄວ້​ທົດສອບ​ວ່າ​ມີ​ຊ່ອງ​ໂຫວ່​ຫລື​ບໍ່​ເທິງ GitHub ນອກ​ຈາກ​ນີ້ Ghostcat ​ຍັງ​ກະທົບ​ໄປ​ເຖິງ Red Hat ທີ່​ມາ​ພ້ອມ​ກັບ Tomcat ດ້ວຍ ເຊັ່ນ JBossWeb ຫລື JBoss EAP ຈຶ່ງ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ງານ​ປິດ AJP Connector ຖ້າ​ບໍ່​ໃຊ້​ຫລື​ຢ່າ Binding ເຂົ້າ​ກັບ Localhost ແລະ​ ຄວນ​ຈຳ​ກັດ​ການ​ເຂົ້າ​ເຖິງ​ພອດ 8009 ຜ່ານ​​ອິນ​ເຕີ​ເນັດ

ຢ່າງໃດ​ກໍ​ຕາມ​ປັດຈຸບັນ​ມີ​ການ​ເຜີຍແຜ່​ໂຄ້​ດ PoC ຫຼາຍ​ແຫ່ງ​ແລ້ວ​ເທິງ​​ອິນ​ເຕີ​ເນັດ ເຊັ່ນ Tenable ຫລື​ ຜູ້​ຊ່ຽວ​ຊານ​ຂອງ​ຈີນ ດັ່ງ​ນັ້ນ​ຜູ້​ໃຊ້​ງານ​ຄວນ​ກວດ​ສອບ ​ແລະ ​ອັບ​ເດດ​​ເພື່ອອຸດຊ່ອງໂຫວ່ດັ່ງກ່າວ

ແຫຼ່ງຂໍ້ມູນ:  

https://www.zdnet.com/article/ghostcat-bug-impacts-all-apache-tomcat-versions-released-in-the-last-13-years/

https://www.securityweek.com/apache-tomcat-affected-serious-ghostcat-vulnerability