เมื่อวันที่ 20 กุมภาพันธ์ 2563 ทีมวิจัยด้านความมั่นคงปลอดภัยจาก Chaitin Tech ได้รายงานช่องโหว่ใน Apache Tomcat ในส่วน Apache JServ Protocol หรือ AJP ซึ่งเป็นโพรโทคอลที่ถูกออกแบบมาเพื่อใช้รองรับ request ที่ส่งเข้ามายังเว็บเซิร์ฟเวอร์ ฟีเจอร์นี้ถูกติดตั้งและเปิดใช้งานมาเป็นค่าเริ่มต้น (พอร์ต 8009)

ทางทีมวิจัยพบข้อผิดพลาดในกระบวนการทำงานที่ทำให้เมื่อมีการส่ง request บางอย่างเข้ามาจะทำให้สามารถอ่านไฟล์ใดๆ ก็ได้บนเซิร์ฟเวอร์ ข้อผิดพลาดนี้สามารถใช้โจมตีเพื่ออ่านข้อมูลสำคัญ เช่น ไฟล์ที่เกี่ยวข้องกับการตั้งค่าเซิร์ฟเวอร์ได้ นอกจากนี้นักวิจัยยังพบว่าหากมีการตั้งค่าในลักษณะเฉพาะ ผู้ประสงค์ร้ายอาจสามารถอัปโหลดไฟล์อันตรายเข้ามายังเซิร์ฟเวอร์เพื่อให้ประมวลผลไฟล์ดังกล่าวได้

ช่องโหว่นี้ถูกตั้งชื่อว่า Ghostcat รหัส CVE-2020-1938 มีผลกระทบกับ Apache Tomcat ตั้งแต่เวอร์ชัน 6 จนถึง 9 โดยเมื่อวันที่ 24 กุมภาพันธ์ 2563 ทาง Apache ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้ว (มีแพตช์เฉพาะ Tomcat เวอร์ชัน 7 ถึง 9) ผู้ดูแลระบบควรพิจารณาติดตั้งแพตช์โดยเร็ว เนื่องจากถึงแม้จะยังไม่พบรายงานการโจมตีแต่โค้ดสำหรับทดสอบช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแล้ว

หากยังไม่สามารถติดตั้งแพตช์ได้ ผู้ดูแลระบบอาจพิจารณาตั้งค่าเซิร์ฟเวอร์เพื่อลดผลกระทบ โดยจำกัดไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงพอร์ต AJP หรือใช้ firewall ช่วยป้องกันการโจมตีผ่านช่องทางดังกล่าว

ทั้งนี้ ในประเทศไทยมีรายงานเซิร์ฟเวอร์ประมาณ 410 เครื่องที่อาจได้รับผลกระทบจากช่องโหว่นี้ ไทยเซิร์ตอยู่ระหว่างการตรวจสอบผ่านระบบเฝ้าระวังหน่วยงานในเครือข่าย และยกระดับการเฝ้าระวังหน่วยงานที่มีความเสี่ยง

ที่มา https://www.thaicert.or.th/newsbite/2020-02-26-02.html