Vulnerabilidad zero-day permite ejecución de código remoto en Apache Tomcat APJ

27 Febrero 2020
Alto

Un equipo de especialistas en análisis de vulnerabilidades ha revelado el hallazgo de una vulnerabilidad de ejecución remota de código en el conector AJP de Apache Tomcat que se comunica con el conector web.

Tomcat es uno de los servidores de middleware Java más populares. Se ha utilizado durante más de 20 años desde su lanzamiento inicial.

Según el reporte, la vulnerabilidad existe debido a una validación incorrecta en el conector AJP de Apache Tomcat; un actor de amenazas remoto puede enviar una solicitud AJP especialmente diseñada para entregar una carga maliciosa y conducir a la ejecución del código arbitrario en el sistema objetivo. De ser explotada con éxito, la falla puede conducir al compromiso total del sistema atacado, por lo que es considerada una falla crítica.

La vulnerabilidad, identificada como CVE-2020-1938, no tiene registros de explotación en escenarios reales.

Se recomienda lo siguiente:

  • Instalar a la versión más nueva de Tomcat para asegurarse de estar protegidos contra esta vulnerabilidad.
    • Apache Tomcat ha lanzado oficialmente las versiones 9.0.31, 8.5.51 y 7.0.100 para corregir esta vulnerabilidad.
  • Si el parcheo no es factible en este momento, se sugiere algunos pasos de mitigación que se pueden tomar para evitar la explotación de esta vulnerabilidad como:
    • Si su sitio no está utilizando activamente el conector AJP, simplemente coméntelo para deshabilitarlo, ya que el conector AJP está habilitado de forma predeterminada.
    • Sin embargo, si está utilizando el conector AJP en su sitio, deberá asegurarse de que el conector AJP contenga el atributo “requiredSecret”, que es similar a una contraseña.

El listado de las CVE se adjunta a continuación:


Tags: #tomcat #Vulnerabilidad #apache #ajp #java #ghostcat #parche
  • Productos Afectados
  • Producto Versión
    Apache Tomcat 9.0.0.M1 a 9.0.0.30
    8.5.0 a 8.5.50
    7.0.0 a 7.0.99


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.