Apache Tomcat bis 7.0.99/8.5.50/9.0.30 AJP Connector Ghostcat erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.4$0-$5k0.00

Zusammenfassunginfo

Es wurde eine kritische Schwachstelle in Apache Tomcat bis 7.0.99/8.5.50/9.0.30 ausgemacht. Es ist betroffen eine unbekannte Funktion der Komponente AJP Connector. Die Veränderung resultiert in erweiterte Rechte (Ghostcat). Die Identifikation der Schwachstelle findet als CVE-2020-1938 statt. Es ist möglich, den Angriff aus der Ferne durchzuführen. Darüber hinaus steht ein Exploit zur Verfügung. Es wird geraten, einen Patch zu installieren, um dieses Problem zu lösen.

Detailsinfo

Es wurde eine Schwachstelle in Apache Tomcat bis 7.0.99/8.5.50/9.0.30 (Application Server Software) ausgemacht. Sie wurde als kritisch eingestuft. Hiervon betroffen ist eine unbekannte Funktionalität der Komponente AJP Connector. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Ghostcat) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-20 vorgenommen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

When using the Apache JServ Protocol (AJP), care must be taken when trusting incoming connections to Apache Tomcat. Tomcat treats AJP connections as having higher trust than, for example, a similar HTTP connection. If such connections are available to an attacker, they can be exploited in ways that may be surprising. In Apache Tomcat 9.0.0.M1 to 9.0.0.30, 8.5.0 to 8.5.50 and 7.0.0 to 7.0.99, Tomcat shipped with an AJP Connector enabled by default that listened on all configured IP addresses. It was expected (and recommended in the security guide) that this Connector would be disabled if not required. This vulnerability report identified a mechanism that allowed: - returning arbitrary files from anywhere in the web application - processing any file in the web application as a JSP Further, if the web application allowed file upload and stored those files within the web application (or the attacker was able to control the content of the web application by some other means) then this, along with the ability to process a file as a JSP, made remote code execution possible. It is important to note that mitigation is only required if an AJP port is accessible to untrusted users. Users wishing to take a defence-in-depth approach and block the vector that permits returning arbitrary files and execution as JSP may upgrade to Apache Tomcat 9.0.31, 8.5.51 or 7.0.100 or later. A number of changes were made to the default AJP Connector configuration in 9.0.31 to harden the default configuration. It is likely that users upgrading to 9.0.31, 8.5.51 or 7.0.100 or later will need to make small changes to their configurations.

Die Schwachstelle wurde am 20.02.2020 als CNVD-2020-10487 in Form eines bestätigten Tweets (Twitter) publiziert. Bereitgestellt wird das Advisory unter twitter.com. Die Herausgabe passierte in Zusammenarbeit mit Apache. Die Identifikation der Schwachstelle wird mit CVE-2020-1938 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.

Ein öffentlicher Exploit wurde in Python geschrieben und direkt nach dem Advisory veröffentlicht. Unter github.com wird der Exploit bereitgestellt. Er wird als attackiert gehandelt. Vor einer Veröffentlichung handelte es sich 48 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 212407 (Oracle Siebel Server (July 2020 CPU)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Ein Aktualisieren auf die Version 7.0.100, 8.5.51 oder 9.0.31 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen.

Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (48143), Tenable (212407) und EUVD (EUVD-2020-0481) dokumentiert. Weitere Informationen werden unter tenable.com bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-158110, VDB-158112, VDB-158326 und VDB-158327. Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.5
VulDB Meta Temp Score: 8.4

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 9.8
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: Ghostcat
Klasse: Erweiterte Rechte / Ghostcat
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Attackiert
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 212407
Nessus Name: Oracle Siebel Server (July 2020 CPU)

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Upgrade: Tomcat 7.0.100/8.5.51/9.0.31
Workaround: tenable.com

Timelineinfo

02.12.2019 🔍
03.01.2020 +32 Tage 🔍
20.02.2020 +48 Tage 🔍
20.02.2020 +0 Tage 🔍
24.02.2020 +4 Tage 🔍
22.10.2025 +2067 Tage 🔍

Quelleninfo

Hersteller: apache.org

Advisory: CNVD-2020-10487
Status: Bestätigt
Koordiniert: 🔍

CVE: CVE-2020-1938 (🔍)
GCVE (CVE): GCVE-0-2020-1938
GCVE (VulDB): GCVE-100-150441
EUVD: 🔍
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 24.02.2020 11:57
Aktualisierung: 22.10.2025 21:02
Anpassungen: 24.02.2020 11:57 (55), 24.02.2020 12:02 (18), 02.04.2024 11:46 (18), 23.04.2024 17:45 (15), 24.07.2024 17:10 (1), 09.09.2024 22:29 (1), 18.10.2024 03:11 (1), 11.12.2024 19:57 (2), 22.10.2025 21:02 (1)
Komplett: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Diskussion

 ditzestephan (+0)
vor 6 Jahren
VULDB-Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:O/RC:C
NVD-Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Thats a huge difference. We discuss if it is more an RCE than a PE. I hope you can support us with a rationale.

Chris

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!