Apache
Aprender tudo sobre Apache
Leia com atenção: se o seu servidor web estiver rodando o Apache Tomcat, pare imediatamente e instale a sua versão mais recente. Só assim será possível impedir que hackers assumam controle não-autorizado sobre o seu site ou serviço hospedado online.
Sim, praticamente todos os servidores que rodam o Apache Tomcat nas versões 9, 8, 7 e 6 estão suscetíveis a essa nova vulnerabilidade. Em outras palavras, todas as versões do servidor lançadas nos últimos 13 anos estão vulneráveis, exceto a versão 10, que está livre do problema e é a recomendação para o uso.
A placa vai além de simplesmente atualizar o servidor e inclui não expor o porto AJP-se a clientes que não são de confiança, porque se comunica através de canais não seguros. Se a atualização não é possível, a recomendação é desabilitar o conector AJP diretamente ou alterar o seu endereço a um host local.
As versões mais antigas do Apache Tomcat foram consideradas vulneráveis a um novo arquivo de alta gravidade (CVSS 9.8), que é um bug de leitura e inclusão. Apelidada de Ghostcat e rastreada como CVE-2020-1938, a falha pode permitir que hackers, de forma remota e não-autenticada, leiam o conteúdo de qualquer arquivo em um servidor web vulnerável e obtenham arquivos de configuração, código-fonte confidencial ou ainda executem um código arbitrário se o servidor permitir o upload de arquivos.
De acordo com a empresa chinesa de segurança cibernética Chaitin Tech, “se o site permitir que os usuários façam upload de um arquivo, o invasor poderá primeiro fazer upload de um arquivo contendo código de script JSP malicioso no servidor (o próprio arquivo carregado pode ser de qualquer tipo, como imagens, arquivos de texto sem formatação, etc.) e incluir o arquivo carregado explorando o Ghostcat, que finalmente pode resultar na execução remota de código.”
Então, nas versões listadas como vulneráveis, o Apache Tomcat trata todas as conexões de entrada como sendo de alta confiança, de forma indistinta, o que permite que hackers e invasores “entrem” em conexões legítimas e, assim, consigam desde manipular arquivos até a executar scripts remotamente.
Há inclusive, no Github – plataforma de hospedagem de código-fonte -, um repositório com exemplos de como a vulnerabilidade funciona, o que muito provavelmente será utilizado por indivíduos mal-intencionados para atacarem servidores desprotegidos.
Ainda segundo os pesquisadores da Chaitin, essa falha foi relatada no mês passado ao projeto Apache Tomcat, que lançou as versões Apache Tomcat 9.0.31 , 8.5.51 e 7.0.100 para corrigir o problema.
Questionado sobre os possíveis impactos da vulnerabilidade, Fernando Amatte, diretor de Cyber Intelligence & Red-Team LATAM da Cipher, explica: “Como essa é uma vulnerabilidade que impacta servidores e provedores de serviços, os impostos aos usuários comuns são em sua maioria, danos colaterais, e isso irá variar de site para site. Os problemas podem ir desde vazamentos de dados confidenciais, até o acesso total ao servidor, dependendo das permissões.”
Amatte ainda orienta para reverter uma possível invasão que “se o equipamento já foi enviado, a recomendação é a instalação de um novo servidor, atualização de todos os pacotes e serviços, a validação do código-fonte e banco de dados, e só então o retorno do serviço no ar.”
Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.
UOL Tecnologia Site Parceiro © 2019 Canaltech