您的位置:首页>>移动互联

“幽灵猫”浮现网络空间,长亭科技曝Tomcat高危漏洞威胁

发布时间:2020-02-21 15:10:20  来源:互联网    背景:

  日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Apache Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。据悉,该漏洞已潜伏十多年之久却一直未被发现,危害极大并可被攻击者利用,造成企业大规模数据泄漏。长亭科技安全研究人员将此漏洞命名为“幽灵猫(Ghostcat)”。

  2月14日,Apache Tomcat(以下简称 Tomcat) 官方发布安全更新版本,修复漏洞。2月20日,国家信息安全漏洞共享平台(CNVD)联合长亭科技发布安全公告,该漏洞综合评级为高危,漏洞 CVE 编号 CVE-2020-1938。长亭科技已将幽灵猫 (Ghostcat)相关威胁细节公布,提醒广大企业用户及时修复,降低风险。

  Tomcat 是当前最流行的 Java 中间件服务器之一,而Java 是目前 Web 开发中最主流的编程语言,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。此次被发现的幽灵猫(Ghostcat)漏洞,经过研究人员确认,其影响范围覆盖全版本默认配置下的 Tomcat,这意味着它在 Tomcat 里已经潜伏了长达十多年的时间。

  据网络空间搜索引擎FOFA的数据显示,过去一年内,全球范围内公网上活跃使用Tomcat软件的数量近300万,其中开放的AJP服务端端口数量为40多万。而这还仅仅是公网数据,如果加上各种企业内网的使用,据不完全统计,受到该漏洞的影响的主机数量可能达到千万级。

  由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 下部署的所有 webapp 的配置文件或 jsp/jar/class 等源码文件。网站配置文件经常含有诸如数据库、邮箱服务器账号密码等敏感信息,这也就意味着,一旦攻击者获取这些信息,就有可能造成整个企业的重要核心数据被窃取。此外,如果网站应用提供文件上传的功能,攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 幽灵猫 (Ghostcat )漏洞进行文件包含,从而达到远程代码执行,进一步获取服务器权限等危害。

  “幽灵猫对企业内网安全可造成较大的影响。Web应用或组件的攻击面大多来自HTTP协议,此次的漏洞发生在AJP协议中,该协议较少引起重视,这使得漏洞对企业内网可能造成的影响变得更加不可控。”长亭科技联合创始人、首席安全研究员杨坤博士对疫情特殊时期的应急响应表示担忧。“我们已及时将可靠的解决方案输出给客户,并提供免费扫描工具帮助企业及时发现问题,尽量降低在疫情期间人力不足情况导致的安全风险。”

  在杨坤看来,在该漏洞还没有造成更多损失之前,广大企业应更多关注攻击面的收敛工作,尽可能关闭未使用的协议或端口。同时杨坤也提醒广大企业,已经有研究人员放出漏洞利用的代码,建议大家尽快针对此漏洞完成应急响应流程。

  针对此次幽灵猫(Ghostcat)漏洞可能造成的安全风险,长亭科技为企业用户和个人用户提供在线监测检测工具下载应急服务(027-59760362),建议可能受此漏洞影响的企业和个人立即进行有针对性的自查。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
联发科能否凭借天玑1000Plus在5G 时代成功翻身吗?
一说起联发科,相信很多人都会下意识的想起那句“一核有难、九核围观”的网络名梗。
日期:07-04
重磅!3GPP宣布R16标准冻结,5G第一个演进版本标准完成
7月4日消息 昨日晚间,负责制定 3G 以来通信标准的国际组织 3GPP(the 3rd Generation Partnership P...
日期:07-04
总额1000亿!支付宝全国发放“免息生活费” 0成本使用
近日,支付宝宣布,将通过“借呗”向全国范围内符合条件的用户提供金额1000元~10000元、...
日期:07-02
欧盟通过小蜂窝法规以推进 5G 部署
北京时间 7 月 2 日早间消息 据 Mobile World Live 报道,欧盟委员会(EC)通过了关于小蜂窝的法规,...
日期:07-02
找车更精准!哈啰出行宣布旗下共享单车全面接入北斗定位
6 月 23 日消息,北斗三号全球系统最后一颗卫星于本月 23 日成功发射,哈啰出行宣布旗下共享单车全...
日期:06-23
今日,电子客票在全国普速铁路推广实施
6月20日消息 据中国铁路消息,今日,电子客票在全国普速铁路推广实施,覆盖1300多个普速铁路车站。...
日期:06-20
iOS版微信悄然上线“拍一拍”功能 网友:再也不用发“在吗”了
昨天,iOS版微信升级到了v7.0.13版本,正式带来了微信号改名功能。
日期:06-17
网易云音乐发布K歌App音街:专为年轻人打造 能交友
6月16日,网易云音乐正式发布独立K歌App“音街”,专为年轻人打造。据悉,网易CEO丁磊也...
日期:06-16
东北话之后,联通沃留言上线“川普”语音包
6月12日消息 今年年初,中国联通宣布推出首个 5G+AI 语音智能服务产品 “沃留言”,称可...
日期:06-13
潮流易逝 95后Soul网友心目中的经典作品有哪些?
经典的文艺作品,之所以在时光中熠熠生辉,是因为抓住了直抵人心的东西和人类最基本的需求。潮流易...
日期:06-11
下架近一年 即刻App称已恢复运营
自去年7月被下架后,社交平台即刻今日恢复运营。即刻官方表示,目前苹果和安卓各大应用市场均可以下...
日期:06-10
中国广电:将尽快完成 5G 商用放号,打造高品质 700MHz 5G 网络
6 月 8 日消息 2019 年 6 月 6 日,工信部向四家基础电信企业发放了 5G 商用牌照,正式开启了中国广...
日期:06-08
优酷APP 9.0正式发布:全新界面 将推出“优酷号”
6月6日消息,优酷APP 9.0版本正式发布,首页全面改版,重点凸显了PUGC(专业用户生产内容)、短视频...
日期:06-06
优酷App全面改版 新版加码PUGC、短视频
6月6日,部分用户发现优酷App全面改版,短视频等PUGC内容,以双瀑布流的形式,登陆优酷首页八部热播...
日期:06-06
WiFi6的缺陷在哪?为什么WiFi6和MESH是绝配?
如果要评出2020年科技数码圈十大最常见的词,那WiFi6肯定会上榜。今年3月开始,各种WiFi6设备如雨后...
日期:06-05
支付宝:5.5 亿中国人 “手机种树”超 2 亿棵,种植面积相于 2.5 个新加坡
今天(6 月 5 日)是世界环境日,支付宝公布了中国人 “手机种树”的最新 “成绩单&rd...
日期:06-05
百度地图为“地摊经济”开辟绿色通道!大幅简化“地点信息”上传流程
“地摊经济、小店经济是就业岗位的重要来源,是人间的烟火,和‘高大上’一样,是中...
日期:06-03
三大运营商必然选择!
(原标题:三大运营商必然选择!中国电信:从6月1日起逐步关闭3G网络)
日期:06-03
  专栏介绍
王涵 的专栏
王涵发表的文章
积分:
自我介绍 :