DIVD-2020-00005 - Apache Tomcat AJP File Read/Inclusion Vulnerability
| Our reference | DIVD-2020-00005 |
| Case lead | Frank Breedijk |
| Author | Jeroen van de Weerd |
| Researcher(s) |
|
| CVE(s) | |
| Product | Apache Tomcat AJP |
| Versions | 9, 8, 7, and 6 |
| Recommendation | Disable AJP if not used, make sure to install the update |
| Patch status | Available |
| Workaround | Comment out the line, "Connector port="8009" protocol="AJP/1.3" redirectPort=8443" |
| Status | Closed |
| Last modified | 12 Aug 2022 11:21 CEST |
Samenvatting
Het Nederlands Security Meldpunt heeft een lijst met 773 Nederlandse IP adressen ontvangen die kwetsbaar zijn voor een Remote File Read/Inclusion kwetsbaarheid in de Apache Tomcat AJP (Apache JServ Protocol) connector (CVE-2020-1398). Deze lijst is gemaakt door onderzoekers van DIVD. CVE-2020-1398 is een beveiligingslek met betrekking tot het lezen van bestanden in de AJP-connector in Apache Tomcat. De Apache Tomcat AJP-connector is standaard ingeschakeld op poort 9008. Een externe, niet-geauthenticeerde aanvaller kan dit beveiligingslek misbruiken om webtoepassingsbestanden van een kwetsbare server te lezen. Als de webapplicatie het toestaat om bestanden te uploaden, kan een aanvaller een bestand met kwaadaardige JSP-scriptcode uploaden en deze hierna met de Ghostcat-kwetsbaarheid uitvoeren. Dit kan uiteindelijk leiden tot uitvoering van externe code. Patches om deze kwetsbaarheid te dichten zijn reeds uitgegeven door Apache. Er zijn sterke aanwijzingen dat kwaatwillenden reeds scannen om kwetsbare systemen te vinden en aan te vallen. Het Security Meldpunt gaat de eigenaren van deze IP adressen benaderen en advieseren de patches met spoed te installeren.
Wat kunt u doen?
Wij raden iedereen aan de beschikbare patches te installeren. Daarnaast adviseren wij de AJP connector waar mogelijk van het internet te halen. Dit kunt u doen door de Apache Tomcat AJP connector uit te commentariëren in het /conf/server.xml bestand. Mocht AJP noodzakelijk zijn in uw configraties, dan raden wij u aan deze via het secretRequired attribuut te beveiligen.
Patches zijn beschikbaar voor de volgende versies;
- Apache Tomcat 9 9.0.30, beschikbare versie met updates is 9.0.31
- Apache Tomcat 8 8.5.50, beschikbare versie met updates is 8.5.51
- Apache Tomcat 7 7.0.99, beschikbare versie met updates is 7.0.100
De kwetsbaarheid is ook aanwezig in Apache Tomcat versie 6. Deze versie wordt niet langer ondersteunt en daarom wordt hier ook geen update voor uitgebracht. We raden u ten strengste aan om deze versie direct te updaten naar de nieuwste versie.
Gedetaileerde informatie is beschikbaar op de volgende web pagina’s:
Wat doen wij?
Wij gaan de lijst met Nederlandse systemen nader onderzoeken en de eigenaren van de IP adressen van deze systemen op de hoogte brengen van de kwetsbaarheid.
Timeline
| Date | Description |
|---|---|
| 22-2-2020 | Security Meldpunt heeft een lijst ontvangen met 773 Nederlandse IP adressen. |
| 23-2-2020 | E-mail verstuurd aan 72 netwerkbeheerders |
| 3-12-2020 | Case Closed. |
English
Summary
The Dutch Security Hotline has received a list of 773 Dutch IP addresses that are all vulnerable to the Remote File Read/Inclusion vulnerability in the Apache Tomcat AJP connector (Apache JServ Protocol). This list was made by DIVD researchers. CVE-2020-1398 is a vulnerability that allows an attacker to read arbitrary files via the AJP connector in Apache Tomcat. This connector is enabled by default on port 8009. An external, unauthenticated attacker could exploit this vulnerability to read arbitratry files from a vulnerable server. If the website application allows files to be uploaded, an attacker can upload a file with malicious JSP script code. The file can then be executed via the AJP connector wich leads to arbitrary remote code. Patches to close this vulnerability have already been issued by Apache. There is a good chance that these vulnerable systems will be scanned and attacked by others. We will approach the owners of these IP addresses to advise them to install the patches urgently.
What you can do
We recommend that you install the available patches. Besides that, we advise to disable the AJP connector if possible by commenting it out in the /conf./server.xml fie. If your configuration depends on AJP we advise you to secure it via the secretRequired attribute.
Patches are available for the following versions;
- Apache Tomcat 9 9.0.30, available version with updates is 9.0.31
- Apache Tomcat 8 8.5.50, available version with updates is 8.5.51
- Apache Tomcat 7 7.0.99, available version with updates is 7.0.100
The vulnerability can also be found in Apache Tomcat version 6. This version is not supported anymore and therefore no update is released for this. We strongly recommend to update this version directly to the latest version.
More detailed information is available on the following pages:
What we are doing
We will further investigate the list of the Dutch systems and where necessary, inform the owners of the IP addresses of these systems about the vulnerability.
Timeline
| Date | Description |
|---|---|
| 22 Feb 2020 | Security Hotline has received a list with 773 Dutch IP addresses. |
| 23 Feb 2020 | Email sent to 72 netwerk operators |
| 03 Dec 2020 | Case Closed. |