周末检测到针对Ghostcat漏洞未修补的Apache Tomcat服务器的持续扫描，该漏洞使潜在的攻击者可以接管服务器。

正如网络威胁情报公司Bad Packets 在周六所说的那样，“针对此漏洞的大规模扫描活动已经开始。立即修补！”

Ghostcat是一个高风险文件读取/包含漏洞，其跟踪为CVE-2020-1938，并且存在于版本6.x和9.x之间的Apache Tomcat的Apache JServ协议（AJP）中。

使用Apache Tomcat开发者已经发布的版本7.0.100，51年5月8日，和9.0.31修补漏洞，但是，6.x版的用户必须升级到新的版本，因为这个分支已经达到最终OF-支持，并且不再更新-6.x的最新更新于2017年4月7日发布。

默认情况下，所有未打补丁的Apache Tomcat 6、7、8和9安装均附带启用AJP连接器，并侦听端口8009上所有已配置的服务器IP地址。

可用的概念验证漏洞

成立说，证明的概念攻击已经由安全研究人员在GitHub（共享1，2，3，4，5）。

如果您不能立即将服务器更新或升级到修补的Tomcat版本，Chaitin Tech的研究团队建议完全禁用AJP连接器（如果未积极使用）或配置AJP连接器的requiredSecret属性以设置身份验证凭据。

Chaitin Tech还提供了一个安全评估工具，可以帮助您发现容易受到针对网络上Ghostcat攻击的Tomcat服务器。

据Shodan称，目前可以通过Internet访问超过890,000台Tomcat服务器，而BinaryEdge发现了超过一百万台。

下表列出了受影响的Apache Tomcat版本以及Ghostcat漏洞已修复的版本。

可能导致服务器接管的严重缺陷

开发人员解释说： “ Tomcat将AJP连接视为比例如类似的HTTP连接具有更高的信任度。” “如果攻击者可以使用这种连接，则可以以令人惊讶的方式利用它们。”

中国安全机构Chaitin Tech的研究人员详细发现了该错误，成功利用未打补丁的Tomcat服务器后，“攻击者可以读取Tomcat上部署的所有Web应用程序的配置文件和源代码文件的内容。”

“此外，如果网站应用程序允许用户上传文件，则攻击者可以先将包含恶意JSP脚本代码的文件上传到服务器（上传的文件本身可以是任何类型的文件，例如图片，纯文本文件等）。 ，然后利用Ghostcat漏洞包含上载的文件，该漏洞最终可能导致远程执行代码。”

根据Snyk和Red Hat的说法，Tomcat还附带了使用Spring Boot Java框架以及其他基于Java的服务器和框架（包括但不限于JBoss Web服务器（JWS）和JBoss企业应用程序平台（EAP））构建的应用程序。ZDNet报道。