[SECURITY-L] [RNP/CAIS Alerta #0057] Vulnerabilidade no Application Server Apache Tomcat

CSIRT Unicamp security em unicamp.br
Sexta Novembro 20 14:10:56 -03 2020 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Prezados,

CAIS-Alerta [20/11/2020]: Vulnerabilidade no Application Server Apache
Tomcat

O CAIS alerta para uma vulnerabilidade crítica no Application Server Apache
Tomcat que pode permitir execução remota de códigos maliciosos. Já foram
publicados códigos de exploração para algumas das vulnerabilidades
identificadas.

DESCRIÇÃO

Uma falha na arquitetura do módulo de persistência de sessões do servidor
Apache Tomcat, quando operado em conjunto com um objeto de classe FileStore
e configurado para tratar a replicação de atributos de sessão como nula,
permite que um usuário malicioso faça requisições forjadas e execute
códigos remotos no servidor, forçando a desserialização do código
previamente enviado, executando-o junto ao Application Server. A exploração
da vulnerabilidade também é possibilitada por algumas características da
configuração do Apache Tomcat:
 - - a possibilidade de um usuário malicioso controlar o conteúdo e nome de
arquivos persistentes no servidor;
 - - o uso do recurso PersistenceManager associado a um FileStore;
 - - o atributo sessionAttributeValueClassNameFilter como 'null' ou com
filtros inadequados;
 - - conhecimento do caminho da unidade de armazenamento utilizada pelo
FileStore para armazenamento do arquivo manipulado pelo usuário malicioso.


SISTEMAS IMPACTADOS

Aplicações executadas no Apache Tomcat


VERSÕES AFETADAS

 - - Apache Tomcat 10.0.0-M1 a 10.0.0-M4
 - - Apache Tomcat 9.0.0.M1 a 9.0.34
 - - Apache Tomcat 8.5.0 a 8.5.54
 - - Apache Tomcat 7.0.0 a 7.0.103


CORREÇÕES DISPONÍVEIS

Atualizar a versão do servidor Apache Tomcat para a versão mais recente
disponibilizada pelos desenvolvedores:
 - - 7.0.104 para versões 7.0.103 e anteriores.
 - - 8.5.55 para versões 8.5.54 e anteriores.
 - - 9.0.35 para versões 9.0.34 e anteriores.
 - - 10.0.0-M5 para versões 10.0.0-M4 e anteriores.

 - - Como solução de contorno - para casos onde a atualização não seja
possível até a janela de manutenção da gestão de mudanças - é necessária a
desativação dos FileStore ou a configuração do atributo
sessionAttributeValueClassNameFilter separadamente, de modo que apenas
objetos específicos possam ser serializados/desserializados. [6]


IDENTIFICADORES CVE (http://cve.mitre.org)

 - - CVE-2020-9484


MAIS INFORMAÇÕES
[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9484
[2]
https://medium.com/@romnenko/apache-tomcat-deserialization-of-untrusted-data-rce-cve-2020-9484-afc9a12492c4
[3] https://github.com/osamahamad/CVE-2020-9484-Mass-Scan
[4]
https://meterpreter.org/cve-2020-9484-apache-tomcat-remote-code-execution-vulnerability-alert/
[5] https://nvd.nist.gov/vuln/detail/CVE-2020-9484
[6] https://tomcat.apache.org/tomcat-9.0-doc/config/cluster-manager.html
[7] http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.104
[8] http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.55
[9] http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.35
[10]
http://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.0-M5
[11] https://security.netapp.com/advisory/ntap-20200528-0005/


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=X0X1
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta

===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20201120/2c628d78/attachment.html>

Mais detalhes sobre a lista de discussão SECURITY-L