Explotación remota de código en Apache Tomcat
- Apache Tomcat 11.0.0-M1 hasta 11.0.2;
- Apache Tomcat 10.1.0-M1 hasta 10.1.34;
- Apache Tomcat 9.0.0.M1 hasta 9.0.98.
COSCO Shipping Lines DIC y sw0rd1ight han reportado una vulnerabilidad de severidad crítica que afecta a Apache Tomcat, y cuya explotación podría permitir una posible ejecución remota de código y divulgación de información.
Una prueba de concepto está disponible en github.com. Si bien es cierto que se ha reportado que se está explotando activamente, a día de hoy no ha sido posible confirmar explotaciones con éxito en entornos de producción del mundo real.
Apache recomienda actualizar a las siguientes versiones:
- Apache Tomcat 11: versión 11.0.3;
- Apache Tomcat 10: versión 10.1.35;
- Apache Tomcat 9: versión 9.0.99.
Además de esto, Apache recomienda tomar las siguientes medidas de mitigación:
- Deshabilitar los permisos de escritura para el servlet por defecto.
- Deshabilitar el soporte de PUT parciales.
- Revisar y restringir las configuraciones de carga de archivos.
- Implementar controles de acceso estrictos para directorios sensibles.
- Utilizar los principios de mínimo privilegio para la configuración de Tomcat.
Apache indica que si no se ha modificado la configuración por defecto del DefaultServlet de solo lectura de “true” a “false”, no hay riesgo de explotacion.
Vulnerabilidad de equivalencia de rutas en Apache Tomcat. La vulnerabilidad implica la divulgación de información mediante la manipulación de archivos a través de un servlet predeterminado, posiblemente llegando incluso a la ejecución remota de código no autenticada en la función PUT.
Bajo circunstancias específicas, una explotación exitosa permite a los atacantes ejecutar código de forma remota en los sistemas de destino a través de la deserialización insegura. No obstante, para que un atacante pueda ver los archivos sensibles de seguridad y/o inyectar contenido en esos archivos, es necesario que se cumplan una serie de requisitos:
- escritura activada para el servlet por defecto (desactivado por defecto);
- soporte para PUT parcial (activado por defecto);
- para la divulgación de información, conocimiento por parte del atacante de los nombres de los archivos confidenciales que se cargan, posiblemente también via PUT parciales;
- para la ejecución remota de código, persistencia de sesión basada en archivos con la ubicación de almacenamiento por defecto (desactivada por defecto) y utilización de alguna librería que pueda ser usada en el ataque de deserialización (relativamente común).
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.