Skip to the content.

Nederlands Security Meldpunt

Het Nederlandse meldpunt voor kwetsbaarheden, infecties en andere (cyber)security gerelateerde zaken.

DIVD-2020-00005 - Apache Tomcat AJP File Read/Inclusion Vulnerability

English below
Our reference DIVD-2020-00005
Case lead Frank Breedijk
Author Jeroen van de Weerd
CVE(s) CVE-2020-1938
Products Apache Tomcat AJP
Versions 9, 8, 7, 6
Patches Available
Workaround Comment out the line, “Connector port=”8009” protocol=”AJP/1.3” redirectPort=8443”
Recommendation Disable AJP if not used, make sure to install the update
Status Open

Samenvatting

Het Nederlands Security Meldpunt heeft een lijst met 773 Nederlandse IP adressen ontvangen die kwetsbaar zijn voor een Remote File Read/Inclusion kwetsbaarheid in de Apache Tomcat AJP (Apache JServ Protocol) connector (CVE-2020-1398). Deze lijst is gemaakt door onderzoekers van DIVD. CVE-2020-1398 is een beveiligingslek met betrekking tot het lezen van bestanden in de AJP-connector in Apache Tomcat. De Apache Tomcat AJP-connector is standaard ingeschakeld op poort 9008. Een externe, niet-geauthenticeerde aanvaller kan dit beveiligingslek misbruiken om webtoepassingsbestanden van een kwetsbare server te lezen. Als de webapplicatie het toestaat om bestanden te uploaden, kan een aanvaller een bestand met kwaadaardige JSP-scriptcode uploaden en deze hierna met de Ghostcat-kwetsbaarheid uitvoeren. Dit kan uiteindelijk leiden tot uitvoering van externe code. Patches om deze kwetsbaarheid te dichten zijn reeds uitgegeven door Apache. Er zijn sterke aanwijzingen dat kwaatwillenden reeds scannen om kwetsbare systemen te vinden en aan te vallen. Het Security Meldpunt gaat de eigenaren van deze IP adressen benaderen en advieseren de patches met spoed te installeren.

Wat kunt u doen?

Wij raden iedereen aan de beschikbare patches te installeren. Daarnaast adviseren wij de AJP connector waar mogelijk van het internet te halen. Dit kunt u doen door de Apache Tomcat AJP connector uit te commentariëren in het /conf/server.xml bestand. Mocht AJP noodzakelijk zijn in uw configraties, dan raden wij u aan deze via het secretRequired attribuut te beveiligen.

Patches zijn beschikbaar voor de volgende versies;

De kwetsbaarheid is ook aanwezig in Apache Tomcat versie 6. Deze versie wordt niet langer ondersteunt en daarom wordt hier ook geen update voor uitgebracht. We raden u ten strengste aan om deze versie direct te updaten naar de nieuwste versie.

Gedetaileerde informatie is beschikbaar op de volgende web pagina’s:

Wat doen wij?

Wij gaan de lijst met Nederlandse systemen nader onderzoeken en de eigenaren van de IP adressen van deze systemen op de hoogte brengen van de kwetsbaarheid.

Timeline

Date Description
22-2-2020 Security Meldpunt heeft een lijst ontvangen met 773 Nederlandse IP adressen.
23-2-2020 E-mail verstuurd aan 72 netwerkbeheerders

Ghostcat


English

Summary

The Dutch Security Hotline has received a list of 773 Dutch IP addresses that are all vulnerable to the Remote File Read/Inclusion vulnerability in the Apache Tomcat AJP connector (Apache JServ Protocol). This list was made by DIVD researchers. CVE-2020-1398 is a vulnerability that allows an attacker to read arbitrary files via the AJP connector in Apache Tomcat. This connector is enabled by default on port 8009. An external, unauthenticated attacker could exploit this vulnerability to read arbitratry files from a vulnerable server. If the website application allows files to be uploaded, an attacker can upload a file with malicious JSP script code. The file can then be executed via the AJP connector wich leads to arbitrary remote code. Patches to close this vulnerability have already been issued by Apache. There is a good chance that these vulnerable systems will be scanned and attacked by others. We will approach the owners of these IP addresses to advise them to install the patches urgently.

What you can do

We recommend that you install the available patches. Besides that, we advise to disable the AJP connector if possible by commenting it out in the /conf./server.xml fie. If your configuration depends on AJP we advise you to secure it via the secretRequired attribute.

Patches are available for the following versions;

The vulnerability can also be found in Apache Tomcat version 6. This version is not supported anymore and therefore no update is released for this. We strongly recommend to update this version directly to the latest version.

More detailed information is available on the following pages:

What we are doing

We will further investigate the list of the Dutch systems and where necessary, inform the owners of the IP addresses of these systems about the vulnerability.

Timeline

Date Description
22-2-2020 Security Hotline has received a list with 773 Dutch IP addresses.
23-2-2020 Email sent to 72 netwerk operators

Ghostcat