Skip to the content.

DIVD-2020-00005 - Apache Tomcat AJP File Read/Inclusion Vulnerability

Our referenceDIVD-2020-00005
Case leadFrank Breedijk
AuthorJeroen van de Weerd
Researcher(s)
    CVE(s)
    ProductApache Tomcat AJP
    Versions 9, 8, 7, and 6
    RecommendationDisable AJP if not used, make sure to install the update
    Patch statusAvailable
    Workaround Comment out the line, "Connector port="8009" protocol="AJP/1.3" redirectPort=8443"
    Status Open

    English below

    Samenvatting

    Het Nederlands Security Meldpunt heeft een lijst met 773 Nederlandse IP adressen ontvangen die kwetsbaar zijn voor een Remote File Read/Inclusion kwetsbaarheid in de Apache Tomcat AJP (Apache JServ Protocol) connector (CVE-2020-1398). Deze lijst is gemaakt door onderzoekers van DIVD. CVE-2020-1398 is een beveiligingslek met betrekking tot het lezen van bestanden in de AJP-connector in Apache Tomcat. De Apache Tomcat AJP-connector is standaard ingeschakeld op poort 9008. Een externe, niet-geauthenticeerde aanvaller kan dit beveiligingslek misbruiken om webtoepassingsbestanden van een kwetsbare server te lezen. Als de webapplicatie het toestaat om bestanden te uploaden, kan een aanvaller een bestand met kwaadaardige JSP-scriptcode uploaden en deze hierna met de Ghostcat-kwetsbaarheid uitvoeren. Dit kan uiteindelijk leiden tot uitvoering van externe code. Patches om deze kwetsbaarheid te dichten zijn reeds uitgegeven door Apache. Er zijn sterke aanwijzingen dat kwaatwillenden reeds scannen om kwetsbare systemen te vinden en aan te vallen. Het Security Meldpunt gaat de eigenaren van deze IP adressen benaderen en advieseren de patches met spoed te installeren.

    Wat kunt u doen?

    Wij raden iedereen aan de beschikbare patches te installeren. Daarnaast adviseren wij de AJP connector waar mogelijk van het internet te halen. Dit kunt u doen door de Apache Tomcat AJP connector uit te commentariëren in het /conf/server.xml bestand. Mocht AJP noodzakelijk zijn in uw configraties, dan raden wij u aan deze via het secretRequired attribuut te beveiligen.

    Patches zijn beschikbaar voor de volgende versies;

    De kwetsbaarheid is ook aanwezig in Apache Tomcat versie 6. Deze versie wordt niet langer ondersteunt en daarom wordt hier ook geen update voor uitgebracht. We raden u ten strengste aan om deze versie direct te updaten naar de nieuwste versie.

    Gedetaileerde informatie is beschikbaar op de volgende web pagina’s:

    Wat doen wij?

    Wij gaan de lijst met Nederlandse systemen nader onderzoeken en de eigenaren van de IP adressen van deze systemen op de hoogte brengen van de kwetsbaarheid.

    Timeline

    DateDescription
    22-2-2020 Security Meldpunt heeft een lijst ontvangen met 773 Nederlandse IP adressen.
    23-2-2020E-mail verstuurd aan 72 netwerkbeheerders
    3-12-2020Case Closed.

    Ghostcat


    English

    Summary

    The Dutch Security Hotline has received a list of 773 Dutch IP addresses that are all vulnerable to the Remote File Read/Inclusion vulnerability in the Apache Tomcat AJP connector (Apache JServ Protocol). This list was made by DIVD researchers. CVE-2020-1398 is a vulnerability that allows an attacker to read arbitrary files via the AJP connector in Apache Tomcat. This connector is enabled by default on port 8009. An external, unauthenticated attacker could exploit this vulnerability to read arbitratry files from a vulnerable server. If the website application allows files to be uploaded, an attacker can upload a file with malicious JSP script code. The file can then be executed via the AJP connector wich leads to arbitrary remote code. Patches to close this vulnerability have already been issued by Apache. There is a good chance that these vulnerable systems will be scanned and attacked by others. We will approach the owners of these IP addresses to advise them to install the patches urgently.

    What you can do

    We recommend that you install the available patches. Besides that, we advise to disable the AJP connector if possible by commenting it out in the /conf./server.xml fie. If your configuration depends on AJP we advise you to secure it via the secretRequired attribute.

    Patches are available for the following versions;

    The vulnerability can also be found in Apache Tomcat version 6. This version is not supported anymore and therefore no update is released for this. We strongly recommend to update this version directly to the latest version.

    More detailed information is available on the following pages:

    What we are doing

    We will further investigate the list of the Dutch systems and where necessary, inform the owners of the IP addresses of these systems about the vulnerability.

    Timeline

    DateDescription
    22-2-2020 Security Hotline has received a list with 773 Dutch IP addresses.
    23-2-2020Email sent to 72 netwerk operators
    3-12-2020 Case Closed.

    Ghostcat