Si actualmente utiliza en su servidor web el servicio Apache Tomcat es importante que actualice a la última versión disponible para evitar que alguien tome el control de su servidor sin autorización.

Esta vulnerabilidad apodada como Ghostcat ha sido registrada como CVE-2020-1938. El fallo permite la lectura de ficheros arbitrarios en el servidor a un usuario no autentificado, de esta manera se podrían leer ficheros de configuración o el código de la aplicación hospedada en el servidor web. Incluso en el caso de existir un uploader en la web, sería posible ejecutar código remoto, Henry Chen (@chybeta) nos muestra una pequeña demo en su twitter de como funciona.

El fallo se encuentra en el protocolo Apache JServ Protocol (AJP) -es una versión optimizada del protocolo HTTP para permitir que Tomcat se comunique con el servidor web Apache- y surge del manejo inadecuado de uno de sus atributos. Este protocolo viene habilitado por defecto en el puerto TCP 8009, vinculado a la dirección 0.0.0.0.

Si el sitio web permite a un usuario subir archivos al servidor, se podría subir primero un archivo con el código del payload en JSP y luego incluir el archivo subido explotando Ghostcat, que finalmente resultaría en la ejecución remota de código. el archivo cargado en sí puede incluirse bajo cualquier extensión, tanto de imágenes, como archivos de texto plano, etc.

Es muy importante actualizar lo antes posible a la última versión ya que su explotación es trivial, ya que hay publicadas varias PoC (1, 2, 3, 4 y muchas más que van apareciendo). Es posible que actualmente esté siendo explotado en internet.

Más información

Apache
https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E

The Hacker News
https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html