2020年2月20日,由中国网络安全公司长亭科技研究员发现的Apache Tomcat高危漏洞Ghostcat(CVE-2020-1938)正式公开——该漏洞存在于AJP协议连接器中,攻击者可通过Apache JServ Protocol读取Web应用目录下任意配置文件与源代码,若结合文件上传功能可实现远程代码执行,全球数以百万计使用Tomcat部署的Web服务器面临严重威胁。
AJP协议是Tomcat与前端Web服务器(如Apache HTTP Server)之间的二进制通信协议,默认监听8009端口,通常部署在内网环境中且较少被纳入安全审计范围。Ghostcat的漏洞本质在于AJP连接器缺乏对请求路径的充分校验,攻击者通过构造恶意AJP请求即可读取webapp目录下的任意文件,包括数据库配置文件、加密密钥和源代码等。若服务器同时存在文件上传漏洞,攻击者可进一步上传Webshell实现远程代码执行,完成从信息泄露到完全控制服务器的攻击链。
该漏洞CVSS评分高达9.8(满分10.0),被中国国家信息安全漏洞库(CNVD)收录。Apache软件基金会迅速发布修复版本,建议用户升级到Tomcat 7.0.100、8.5.51或9.0.31及以上版本,或在不影响业务的前提下禁用AJP连接器。安全社区反应两极:一部分运维人员迅速完成升级,但也有大量企业因依赖旧版本和定制化配置而推迟修复。研究人员指出,由于AJP端口通常位于内网,部分管理员低估了内外网边界被突破后的横向移动风险。全球漏洞扫描数据显示,公开后四周内仍有大量暴露AJP端口的服务器未修补漏洞。
Ghostcat事件揭示了一个被长期忽视的安全盲区:当企业和安全团队的注意力集中在HTTP协议层面时,AJP等辅助协议往往沦为”被遗忘的攻击面”。在攻击面持续扩大的时代,对所有服务和协议——无论看似多么”内部”和”非主流”——进行持续发现和风险管理,才是现代Web安全的基础工程。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- Apache官方安全公告:CVE-2020-1938(Ghostcat)详情
- 长亭科技(Chaitin):Ghostcat漏洞发现与披露技术报告
- CNVD国家信息安全漏洞共享平台:Ghostcat收录公告
暂无评论内容