概要

Apache Software FoundationサーブレットコンテナのApache Tomcatの全てのバージョン(9.x/8.x/7.x/6.x)でAJP(PORT:8009)を利用して、/web/ROOTディレクトリ下位のファイルを読み込める「潜在的(Potential)」なリモートコード実行脆弱性(Ghostcat, CVE-2020-1938)が発見された。ウェブアプリケーションプログラム内にファイルアップロード及び保存の許可が必要であるため、「潜在的」と表現した。

2020年1月3日初めに中国のセキュリティ業者のChaitin Techから発見されて、Ghostcatと名前を付けた。脆弱性が公開された後、2020年2月EOSされた6.ｘバージョンを除外した全てのバージョンのセキュリティパッチが行われていたが、2020年3月現在まで、GitHubに20個のPOCが公開されて攻撃頻度が急激に増加することになった。

AJPはTomcatをインストール際にポートが基本的に有効化するため、下記の図のようにインターネットにつながっている機器の情報を提供しているFOFA(FOFA.SO)によると、日本内でも基本ポートでサービス使用しているサーバが45,680件(2020年3月12月基準)で、脆弱性に漏出されている。その為、今回はリモートコード実行可能性があって、攻撃の危険度が高いApache Tomcat-AJP脆弱性、CVE-2020-1938について調べてみよう。

【▲ インターネット上に公開されているAJPポートの使用数値(参考：FOFA)】

脆弱性分析

影響を受けるソフトウェア

CVE-2020-1938攻撃メカニズム

AJP(Apache Jserv Protocol)はApache ServeとJAVA EEサーバ間の連携のためのプロトコルで、様々なウェブサーバからアプリケーションサーバへのロードバランスを具現するための目的で使用される。セッションはそれぞれのアプリケーションサーバのインスタンス名を持つルーティングメカニズムを使用してアプリケーションサーバにリダイレクトされた場合、サーバのためのリバースプロキシでウェブサーバが動作されることになる。

【▲ Apache Tomcatの環境設定ファイルの基本設定】

AJP RequestがApacheからTomcatに送信される際、ユーザーの入力値を検証なく、実行されると、任意でファイルを読み込んだり実行ができるようになる。前もって説明していた潜在的なリモートコード実行条件である、ファイルのアップロードができる環境であれば任意のファイルがアップロードされた後、AJP脆弱性を利用して攻撃コードを実行できるようになる構造である。

CVE-2020-1938はAJP RequestメッセージがTomcatに送信される際、発生する。AJP Requestメッセージを処理する際にTomcatからはorg.apache.coyote.ajp.AjpProcessor.javaを呼び出し、prepareRequest()を通じてAJPメッセージを取り出してRequestオブジェクトをAtrribute(属性)で設定する。

Requestメッセージヘッダーではファイルの拡張子によって、*.JSPファイルはJspServlet.javaで処理されてそれ以外のファイルはDefaultServlet.javaから処理される。任意のファイルが実行されるためにはDefaultServlet.javaが処理すべきファイルもJspServlet.javaから処理させるのが脆弱性の核心である。

CVE-2020-1938脆弱性の詳細分析

【▲ AJP Request送信過程】

上記の図の流れの中でAJP Requestから使用するクラスメンバーであるAttribute(属性)を調べてみると事前に定義されていない属性を使用する場合「SC_A_REQ_ATTRIBUTE」に設定される。「SC_A_REQ_ATTRIBUTE」を処理するためのプロセスに脆弱性があるため、攻撃を実施する際にAJP RequestのAttribute値を「SC_A_REQ_ATTRIBUTE」に設定して送信する。

【▲ AJP Request Attributeの定義】

【▲ AjpProcessor.javaクラスからの脆弱性発生コード】

下記のAJP Headerパケットからattribute_name(javax.sevlet.include.request_uri, javax.sevlet.include.servlet_path)とattribute_value(index, /attack.txt) 値を上記のコードからそれぞれ変数nとvに保存してAttributeの要請ではないかと確認後、Requestメッセージとしてカプセル化してgetadapter()関数を通じて、servlet過程に送る。この過程で入力されたn, v値に対して別途の検証は行わなく、攻撃ができるようになる。

【▲ AJP RequestのパケットHeader情報】

一般ファイルの場合、上記の過程から作られたRequest値がDefaultServlet.javaクラスに送信され、service()関数を呼び出した後、GET Methodに送信される。service()関数はdoget()関数を呼び出し、doget()関数はserveResource()関数を通じて必要なソースコードが得られる。

serveResource()関数はHttpServeltRequest値をgetRelativePath関数を通じてRequestDispatcher.INCLUDE_PATH_INFOとRequestDispatcher.INCLUDE_SERVLET_PATHをpathInfoと serveretPathに保存するともらえる戻り値を通じてgetResource()関数に保存する変数を作成する。getResource()関数からは当該パスのファイルの実行結果を持ってくる。

【▲ http servletコード】

【▲ jspServlet.javaからreuqest処理】

JSPファイルの場合、defaultServlet.javaクラスではなく、jspServlet.javaクラスを呼び出してRequestメッセージを送信することになる。
メッセージの処理方法は前もって調べていたdefaultServlet.javaと同じく、Requestメッセージに保存されているinclude_path_info attributeをjspUriに入れて、Requestメッセージに追加した後、serviceJspFileから当該のパスのリソースを持ってきてコンパイラに送信されて、サーバに転送される。この過程で変更されたAttributeであれば、変更されたURIパス上のファイルが実行される。

【▲ 攻撃に使用されるAttribute属性値】

CVE-2020-1938を実際に攻撃コードとして作成するためには、前に説明した3つのAttribute設定の中でjavax.servlet.include.path_infoを除いた2つの属性値を変更して送信しなければならない。Githubに公開されたPOCの中で1つを分析してTomcat-AJP脆弱性をより詳細に確認してみよう。

【▲ POCコード内に「SC_A_REQ_ATTRIBUTE」値を設定した場合】

POCコードを確認してみると、脆弱性が存在している「SC_A_REQ_ATTRIBUTE」を実行するために、「SC_A_REQ_ATTRIBUTE」値に10(0A)を入力して送信している。

【▲ POCコード(ajpshooter.py)のshoot()関数】

攻撃試し

ファイルがアップロードできる環境でjspServlet.javaを通じてリモートコード実行脆弱性が実際できるかPOCコードを利用して下記の環境でテストをやってみた。

① Wgetコマンドを利用してWebshellファイルをダウンロードする攻撃コードが含まれているファイルを作成

【▲ attack.txtファイルの内容】

② 作成した攻撃コードを/webapps/ROOTパスにアップロード

【▲ サーバにアップロードされたattack.txtファイル】

【▲ attack.txt実行結果(1)】

【▲ attack.txt実行結果(2)】

対応方法

Tomcatセキュリティパッチ適用

Apache Tomcatのバージョンの確認方法は2つがある。
① version.shで確認する：「インストールパス」/bin/version.sh実行

【▲ ./version.sh実行結果】

下図のセキュリティパッチ結果の通りjava/org/apache/coyote/ajp/AjpProcessor.javaのprepareRequest()に既存では定義していないattributeコードに対して、req_attributから別途検証なして実行していた脆弱性はgetAllowedArbitraryRequestAttributesPattern()を通じて検証する機能が追加された。

【▲ 脆弱性セキュリティパッチ結果】

AJPポートの無効化(臨時案)

1) 「インストールパス」/conf/server.xml
2) AJPを有効有無を決定する設定値変更(注釈処理)
<Connector port=＂8009＂ protocol=＂AJP/1.3＂ redirectPort=＂8443＂ />
3) 保存及び再起動

【▲ AJPの無効化方法】

AJPの資格証明設定

AJPが必ず使用されていてアップデートが困難な場合、requiredSecretオプションを使用して資格証明を設定する。

1) 「インストールパス」/conf/server.xml
2) AJPを有効有無を決定する設定値変更(注釈処理)
<Connector protocol=＂AJP/1.3＂ 
     address=＂[TomcatサーバIP]＂
     port=＂8009＂ 
     redirectPort=＂8443＂ 
     requiredSecret=＂[AJP認証属性]＂  />
3) 保存及び再起動

【▲ AJPの資格証明の設定方法】

SNORT適用

【▲ CVE-2020-1938 Snort】

まとめ

今回はomcat-AJP脆弱性分析及び対応方法：Ghostcat(CVE-2020-1938)について調べてみた。
Tomcatはウェブアプリケーションで日本国内でも幅広く使用されているため、この分析レポートを参考し、適切な対処を行うことを推奨する。

参考資料

[1] Apache Tomcat脆弱性セキュリティアップデート推奨
- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35279 (1次)
- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35292 (2次)
[2] 全世界AJP使用統計 : fofa pro
- https://fofa.so/result?q=port%3D%228009%22&qbase64=cG9ydD0iODAwOSI%3D
[3] CVE-2020-1938 POC
- https://github.com/00theway/Ghostcat-CNVD-2020-10487
[4] CVE-2020-1938：Apache Tomcat 服务器任意文件读取/包含漏洞通告
- https://www.tuicool.com/articles/J77VNzM
[5] 协议 1938 AJP request 漏洞 2020 SC CVE Constants
- https://www.icode9.com/content-4-648068.html
[6] 모든 톰캣에 되는 웹 공격이라고!?! Ghostcat: Tomcat Ajp 프로토콜 취약점 cve-2020-1938
- https://www.youtube.com/watch?v=y-xtEk7NciE
[7] CVE-2020-1938: Ghostcat - Apache Tomcat AJP File Read/Inclusion Vulnerability
-https://www.tenable.com/blog/cve-2020-1938-ghostcat-apache-tomcat-ajp-file-readinclusion-
vulnerability-cnvd-2020-10487
[8] (CVE-2020-1938）Apache Tomcat 文件包含漏洞
- http://www.0-sec.org/0day/Tomcat/CVE-2020-1938.html
[9] req_Attributeヘッダーの定義
- https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html