TLP: White
Nivel de riesgo: CVSS v3.1: 9.8 [Crítico]
Acción requerida: Aplicar las actualizaciones de seguridad que corrigen la vulnerabilidad en el protocolo Apache JServ, liberadas por Apache el 25 de febrero de 2020.
Vector de ataque: Red, Acceso Remoto.
Impacto: El aprovechamiento exitoso de esta vulnerabilidad podría permitir a un usuario malicioso el control total del sistema afectado a través de la ejecución remota de código arbitrario con permisos elevados.

Descripción

El pasado 25 de febrero de 2020, los responsables del desarrollo y mantenimiento de Apache publicaron actualizaciones para corregir una vulnerabilidad crítica presente en el protocolo Apache JServ, el cual permite a los usuarios enviar solicitudes desde un servidor Web a un servidor de aplicaciones. El identificador asignado a esta vulnerabilidad es CVE-2020-1938, sin embargo, también es conocida como “Ghostcat”, la cual se cree que ha estado presente por más de una década.

La criticidad de esta vulnerabilidad reside en el hecho de que puede ser aprovechada de forma remota y permite la ejecución de código arbitrario, sin requerir autenticación. Dicha vulnerabilidad permite a un usuario leer el contenido de los archivos de configuración y de código fuente de todas las aplicaciones Web implementadas en Tomcat. Para aprovechar la vulnerabilidad, un atacante necesita enviar una solicitud especialmente diseñada con código malicioso de JavaServer Pages (JSP); una vez que logre aprovechar el fallo podrá ejecutar código arbitrario en el equipo con permisos de administrador.

Es importante mencionar que el protocolo Apache JServ viene habilitado de forma predeterminada en Tomcat por el puerto 8009, ya que este permite reducir el costo de procesamiento de solicitudes HTTP, lo que ocasiona que muchos usuarios de Tomcat estén vulnerables a esta falla.

MNEMO-CERT ha identificado algunas Pruebas de Concepto en Internet mediante las cuales se envía una instancia con código malicioso al servidor vulnerable y puede permitir obtener acceso al dispositivo afectado, las cuales pueden ser consultadas en las siguientes URL:

Actividad maliciosa identificada

Durante el fin de semana pasado se ha observado actividad maliciosa donde se está aprovechando la vulnerabilidad CVE-2020-1938, mediante la cual realizan búsquedas de servidores vulnerables para realizar actividades maliciosas que van desde el reconocimiento de los sistemas hasta la implementación de mecanismos para conservar el acceso a los mismos. Además, se cree que hay alrededor de 1 millón de dispositivos con las versiones vulnerables que todavía no ha sido actualizaciones y son visibles desde Internet.

Nivel de riesgo

  • CVSS v3.1: 9.8 [Critico]

Sistemas/tecnologías afectadas:

Vulnerabilidad CVE-2020-1938

  • Apache Tomcat 6.0.0 a 6.0.53.
  • Apache Tomcat 7.0.0 a 7.0.99.
  • Apache Tomcat 8.5.0 a 8.5.50.
  • Apache Tomcat 9.0.0.M1 a 9.0.30.

Medidas de contención

  • Inhabilitar el protocolo Apache JServ.
  • Bloquear el puerto asociado a Apache JServ (puerto predeterminado 8009).
  • Proteger las conexiones Apache JServ para que solo sean permitidas desde dispositivos confiables.

Medidas de erradicación

A continuación se listan las actualizaciones de seguridad liberadas por Apache para corregir la vulnerabilidad reportada en esta alerta:

  • Actualización Apache Tomcat 7.0.100 o superior.
  • Actualización Apache Tomcat 8.5.51 o superior.
  • Actualización Apache Tomcat 9.0.31 o superior.

Es importante señalar que la versión 6 llegó al final de soporte el día 7 de abril de 2017, por lo que para erradicar esta falla es necesario actualizar a una versión más reciente, o bien, aplicar

Referencias