image

Honderden Nederlandse servers kwetsbaar door Tomcat-lek

maandag 24 februari 2020, 09:22 door Redactie, 8 reacties

Honderden Nederlandse webservers met Apache Tomcat bevatten een kwetsbaarheid waardoor een aanvaller in het ergste geval willekeurige code op de server kan uitvoeren. Inmiddels is er ook exploitcode online verschenen. Een beveiligingsupdate is sinds 12 februari beschikbaar.

De kwetsbaarheid, die al tien jaar in Tomcat aanwezig bleek te zijn en Ghostcat wordt genoemd, bevindt zich in het Tomcat Apache JServ-protocol. Dit is een protocol dat inkomende aanvragen van een webserver kan doorsturen naar een applicatieserver die zich achter de webserver bevindt. Door de kwetsbaarheid kan een aanvaller bestanden in de webapp-directories van Tomcat lezen of toevoegen. Zo is het mogelijk om configuratiebestanden of broncode uit te lezen. Wanneer de webapplicatie een uploadfunctie biedt kan een aanvaller kwaadaardige code op de server uitvoeren.

Op 12 februari kwam de Apache Software Foundation met beveiligingsupdates, namelijk Apache Tomcat versies 7.0.100, 8.5.51 en 9.0.31. Daarnaast zijn er mitigerende maatregelen, zo laat het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid weten. Securitybedrijf Tenable stelt in een analyse van de kwetsbaarheid dat er inmiddels proof-of-concept exploitcode online is verschenen waarmee de kwetsbaarheid is te misbruiken.

Hierdoor is het risico voor tal van organisaties toegenomen. Het Dutch Institute for Vulnerability Disclosure (DIVD) meldt namelijk dat er alleen in Nederland 773 kwetsbare ip-adressen zijn gevonden. Beheerders die de update nog niet hebben geïnstalleerd krijgen het advies dit te doen.

Reacties (8)
24-02-2020, 11:20 door Anoniem
Metinfo 7.0 CMS bijvoorbeeld is al sinds vorig jaar kwetsbaar via PHP.
Geen patch voor Chinese websites die hierop draaien.
Infrastructuur is veelal een vergiet, als je de gaatjes kent.
luntrus
24-02-2020, 13:39 door Anoniem
De DRAC software van Dell servers gebruikt ook Apache TomCat.
Is die software ook getroffen?
24-02-2020, 15:03 door Anoniem
Door Anoniem: Metinfo 7.0 CMS bijvoorbeeld is al sinds vorig jaar kwetsbaar via PHP.
Geen patch voor Chinese websites die hierop draaien.
Infrastructuur is veelal een vergiet, als je de gaatjes kent.
luntrus
Wat heeft dit te maken met dit artikel?
24-02-2020, 18:36 door Anoniem
Dit heeft hier in zoverre mee te maken,
dat het aangeeft hoe kwetsbaarheden op servers aanwezig blijven,
die soms nog lang tijd niet gepatcht worden en zorgen voor de nodige voortgezette narigheid.

Een heleboel blijft dus onder de radar tot je gaat zoeken naar exploitcode op o.a. github e.d.
Niets in code-land is dus toeval. Denk daar eens over na.

Wil je desgevraagd helemaal on topic zijn, lees dan hier:
https://www.hackingarticles.in/multiple-ways-to-exploit-tomcat-manager/
Er zullen al wel wat 'dorkjes' voor verschijnen om mee naar kwetsbare servers te zoeken.

luntrus
24-02-2020, 18:51 door karma4
Het is de Shellshock in de herhaling, De kwetsbaarheden herhalen zich als is het niet op exact dezelfde wijze.
25-02-2020, 07:34 door The FOSS - Bijgewerkt: 25-02-2020, 07:36
Een beveiligingsupdate is sinds 12 februari beschikbaar.

Acuut patchen dus! Apache Tomcat is een goede en veilige webcontainer en Java een heel robuuste en veilige programmeertaal (uitgezonderd die applets die in de webbrowser draaiden en ondertussen zijn afgeschaft) maar je moet wel z.s.m. patchen waar nodig.
25-02-2020, 09:37 door Anoniem
Door The FOSS:
Een beveiligingsupdate is sinds 12 februari beschikbaar.

Acuut patchen dus! Apache Tomcat is een goede en veilige webcontainer en Java een heel robuuste en veilige programmeertaal (uitgezonderd die applets die in de webbrowser draaiden en ondertussen zijn afgeschaft) maar je moet wel z.s.m. patchen waar nodig.
Maar je mooie sales praatjes er bij doen? Als Microsoft dit was geweest, was het spaghetti code geweest.
Het mag dan we een goede en veilige webcontainer zijn, feit is wel dat deze exploit er al heel lang in zit en blijkbaar niemand ooit de opensource code goed heeft bekeken.

En blijkbaar ondanks dat er al 12 dagen geleden een update uit gekomen is, is blijkbaar patching bij een heel hoop servers nog niet gedaan. Het was toch zo gemakkelijk op Linux? Dat wordt hier immers iedere keer gepreekt. Tegengas is vaak dat het een stukje lastiger is, dan even een update commando door voeren. Maar dat wordt altijd weg gepreekt....

Maar misschien is dit ook wel een stukje van het probleem? Aangezien updates iedere dag uit komen, en het dus eigenlijk niet te doen is, om dit allemaal bij te houden is.

Lastige is, dat dit ook nog vaak door 3de partij leveranciers mee gebruikt wordt, probleem is dus een stuk groter dan men denkt.
Hoeveel beheerders hebben dit wel niet draaien zonder dat ze het eigenlijk weten?
En veel is vaak direct aan het Internet gekoppeld....
25-02-2020, 12:03 door The FOSS
Door Anoniem:
Door The FOSS:
Een beveiligingsupdate is sinds 12 februari beschikbaar.

Acuut patchen dus! Apache Tomcat is een goede en veilige webcontainer en Java een heel robuuste en veilige programmeertaal (uitgezonderd die applets die in de webbrowser draaiden en ondertussen zijn afgeschaft) maar je moet wel z.s.m. patchen waar nodig.
Maar je mooie sales praatjes er bij doen? Als Microsoft dit was geweest, was het spaghetti code geweest.

Hoezo? De argumenten voor Windows spaghetticodebouwwerk zijn de waargenomen problemen met het stabiel krijgen van patches, waarbij de oplossing voor het ene probleem tien andere problemen op ogenschijnlijk niet gerelateerde plekken ontstaan.

Door Anoniem: Het mag dan we een goede en veilige webcontainer zijn, feit is wel dat deze exploit er al heel lang in zit en blijkbaar niemand ooit de opensource code goed heeft bekeken.

De voordelen van open source zijn onverminderd geldig. Want het is allemaal inzichtelijk. De wijzigingen die nu worden aangebracht zijn precies terug te zien in versiebeheer.

Door Anoniem: En blijkbaar ondanks dat er al 12 dagen geleden een update uit gekomen is, is blijkbaar patching bij een heel hoop servers nog niet gedaan. Het was toch zo gemakkelijk op Linux? Dat wordt hier immers iedere keer gepreekt. Tegengas is vaak dat het een stukje lastiger is, dan even een update commando door voeren. Maar dat wordt altijd weg gepreekt....

Een lopende site zal misschien even in maintenance mode moeten.

Door Anoniem: Maar misschien is dit ook wel een stukje van het probleem? Aangezien updates iedere dag uit komen, en het dus eigenlijk niet te doen is, om dit allemaal bij te houden is.

Reden temeer om een besturingssysteem te kiezen waarbij patchen écht werkt, snel en zonder onnodige reboots.

Door Anoniem: Lastige is, dat dit ook nog vaak door 3de partij leveranciers mee gebruikt wordt, probleem is dus een stuk groter dan men denkt. Hoeveel beheerders hebben dit wel niet draaien zonder dat ze het eigenlijk weten?
En veel is vaak direct aan het Internet gekoppeld....

Dat is waar want het wordt vaak 'embedded' meegeleverd in allerlei toepassingen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.