您的位置:首页 > 移动互联

“幽灵猫”浮现网络空间,长亭科技曝Tomcat高危漏洞威胁

发布时间:2020-02-21 15:10:20  来源:互联网     背景:

  日前,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Apache Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。据悉,该漏洞已潜伏十多年之久却一直未被发现,危害极大并可被攻击者利用,造成企业大规模数据泄漏。长亭科技安全研究人员将此漏洞命名为“幽灵猫(Ghostcat)”。

  2月14日,Apache Tomcat(以下简称 Tomcat) 官方发布安全更新版本,修复漏洞。2月20日,国家信息安全漏洞共享平台(CNVD)联合长亭科技发布安全公告,该漏洞综合评级为高危,漏洞 CVE 编号 CVE-2020-1938。长亭科技已将幽灵猫 (Ghostcat)相关威胁细节公布,提醒广大企业用户及时修复,降低风险。

  Tomcat 是当前最流行的 Java 中间件服务器之一,而Java 是目前 Web 开发中最主流的编程语言,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。此次被发现的幽灵猫(Ghostcat)漏洞,经过研究人员确认,其影响范围覆盖全版本默认配置下的 Tomcat,这意味着它在 Tomcat 里已经潜伏了长达十多年的时间。

  据网络空间搜索引擎FOFA的数据显示,过去一年内,全球范围内公网上活跃使用Tomcat软件的数量近300万,其中开放的AJP服务端端口数量为40多万。而这还仅仅是公网数据,如果加上各种企业内网的使用,据不完全统计,受到该漏洞的影响的主机数量可能达到千万级。

  由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 下部署的所有 webapp 的配置文件或 jsp/jar/class 等源码文件。网站配置文件经常含有诸如数据库、邮箱服务器账号密码等敏感信息,这也就意味着,一旦攻击者获取这些信息,就有可能造成整个企业的重要核心数据被窃取。此外,如果网站应用提供文件上传的功能,攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 幽灵猫 (Ghostcat )漏洞进行文件包含,从而达到远程代码执行,进一步获取服务器权限等危害。

  “幽灵猫对企业内网安全可造成较大的影响。Web应用或组件的攻击面大多来自HTTP协议,此次的漏洞发生在AJP协议中,该协议较少引起重视,这使得漏洞对企业内网可能造成的影响变得更加不可控。”长亭科技联合创始人、首席安全研究员杨坤博士对疫情特殊时期的应急响应表示担忧。“我们已及时将可靠的解决方案输出给客户,并提供免费扫描工具帮助企业及时发现问题,尽量降低在疫情期间人力不足情况导致的安全风险。”

  在杨坤看来,在该漏洞还没有造成更多损失之前,广大企业应更多关注攻击面的收敛工作,尽可能关闭未使用的协议或端口。同时杨坤也提醒广大企业,已经有研究人员放出漏洞利用的代码,建议大家尽快针对此漏洞完成应急响应流程。

  针对此次幽灵猫(Ghostcat)漏洞可能造成的安全风险,长亭科技为企业用户和个人用户提供在线监测、检测工具下载和应急服务(027-59760362),建议可能受此漏洞影响的企业和个人立即进行有针对性的自查。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
联通加紧5G网络快速部署 北京率先进入“双千兆之城”
近些天,很多市民发现,北京不少联通营业厅在宣传5G套餐预约活动,这让市民能够更近距离的体验5G,......
日期:10-22
SIM卡又曝新漏洞:位置信息就这样被泄露
9月29日消息 移动安全公司AdaptiveMobile在本月初披露发现了一项关于SIM卡的漏洞,该漏洞名为Simjac......
日期:09-29
Soul整装待发:不会让有趣的灵魂等待太久
9月10日,社交App Soul重新上架App Store。提及Soul,不少人都会发出会心一笑,这款充满着善意、包......
日期:09-13
中国联通和中国电信开通国内首个5G SA共建共享商用站点
12月15日消息 昨日晚间据中国联通消息,广东联通和广东电信开通国内首个5G SA共建共享商用站点。...
日期:12-15
LG将在9月发布三屏幕产品
8月7日消息 今天,LG发布了IFA 2019的预热视频;在预热视频中,我们看到采用三个屏幕的电子产品。...
日期:08-07
vivo V17 Pro渲染图曝光:确认采用升降式双摄像头
9月4日消息 据91mobiles报道,消息来源已经公布了vivo V17 Pro智能手机的渲染图,从图中可以看到这......
日期:09-05
飞书负责人谢欣:沟通工具可能是一家公司最重要的通用工具
近日,飞书推出了一项面向中小企业等组织的新福利:2020年5月1日前,申请注册的中小企业(100人以下)......
日期:02-12
短信易被薅羊毛,安全风控不可少
在移动互联网时代,大量的网站、手机app和小程序等都在使用短信验证码作为验证用户身份的安全技术措......
日期:05-16
从WiFi 6到5G 无线技术在海量联网设备重压下更新换代
联网设备越来越多 北京时间1月28日消息,无线互联网改变了人们的生活,它让人们能够在许多......
日期:01-28
工信部发布微功率短距离无线电发射设备相关公告(附解读)
为适应无线电技术发展趋势,深入贯彻“放管服”精神,落实《中华人民共和国无线电管理条......
日期:11-28
行驶在通信云海的诺亚方舟——融云以“方舟”服务全方位布防客户应用安全
安全问题是一个时刻伴随着企业发展的核心问题,备受业界关注。以安全、可靠为核心定位的融云,在持......
日期:09-29
老龄化加剧下的孤独感,VR技术或成破局点
到2035年,随着婴儿潮一代的年龄增长,美国老年人口数量将首次超过儿童。到2030年,随着人口老龄化......
日期:09-09
微软Windows 10你的手机即将支持回复安卓手机通知
9月29日消息 微软最近为Windows 10 Your Phone(你的手机)应用推出了一项新功能,该功能使你可以直接......
日期:09-29
2019国家网络安全周聚焦产业安全 腾讯安全多行业解决方案亮相
产业互联网时代,安全不仅是发展的底线,更已经成为企业数字化转型的核心竞争力。在2019国家网络安全宣传周暨网络安全博览会...
日期:09-19
在家办公终极攻略 小鱼易连解读远程办公正确打开方式
在家办公、居家工作是春节假期后首个工作周的主旋律,上亿人远程在线办公的景象可不常见,几天初体......
日期:02-12
拼音输入内有大智慧?讯飞输入法A.I.赋能全新体验
近些年,手机输入法逐渐发展为工作与生活场景密不可分的一部分,是最贴近用户的产品之一。主流手机......
日期:11-20
抛弃“特殊情况”的固定宽带,让越来越多人更期待5G
近期,由于单位办公地点的宽带又贵又不好用,于是公司干脆抛弃了固定宽带,改而使用4G路由器来为员......
日期:10-17
高层为区块链技术定调,谁能把握住新一轮发展先机?
10月24日,中共中央政治局就区块链技术发展现状和趋势进行第十八次集体学习,区块链技术的集成应用......
日期:11-26
腾讯QQ安卓版8.2.6正式版更新:全新语音表情,通话支持文字互动
1月3日消息 今日,腾讯QQ安卓版迎来8.2.6正式版更新,加入了全新语音表情与群聊互动标识,支持群图......
日期:01-03
百度地图智能物流行业峰会:全新发布智能物流引擎2.0助力货运高峰
根据国家邮政局监测数据显示,11月11日当天,全国各邮政、快递企业共处理5.35亿个快件,再创历史新......
日期:12-02