Origine: bjCSIRT

Numéro: 2021/ALERTE/031

Date de l’alerte: 13/07/2021

APERÇU :

Un exploit concernant une vulnérabilité critique d’exécution de code à distance sur de nombreuses versions d’Apache Tomcat a récemment été publié.

DESCRIPTION :

Libellée CVE-2020-9484, la vulnérabilité existe en raison d’une mauvaise validation lors du traitement des données sérialisées dans les noms de fichiers chargés.

L’exploit s’exécute lorsque les conditions suivantes sont remplies :

  • L’attaquant est capable de contrôler le contenu et le nom d’un fichier sur le serveur ;
  • Le serveur est configuré pour utiliser PersistenceManager avec un FileStore ;
  • PersistenceManager est configuré avec sessionAttributeValueClassNameFilter = null (valeur par défaut) ou un filtre permettant à l’objet fourni par l’attaquant d’être désérialisé ;
  • L’attaquant connait le chemin relatif au fichier depuis l’emplacement de stockage utilisé par FileStore.

Un acteur malveillant distant peut ainsi transmettre un nom de fichier spécialement conçu vers l’application et exécuter du code arbitraire sur le système cible lors du processus de désérialisation. 

Une exploitation réussie de cette vulnérabilité peut entrainer la compromission complète du système vulnérable, la modification de données et une exposition de données sensibles.

IMPACT :

  • Corruption de système
  • Exposition de données sensibles
  • Exécution de code à distance

SYSTEMES AFFECTÉS :

  • Apache Software Foundation Tomcat : Version antérieures à 7.0.104
  • Apache Software Foundation Tomcat : Version antérieures à 8.5.55
  • Apache Software Foundation Tomcat : Version antérieures à 9.0.35
  • Apache Software Foundation Tomcat : Version antérieures à 10.0.0-M5

MESURES À PRENDRE :

Mettre à jour Apache Software Foundation Tomcat vers sa dernière version (7.0.104, 8.5.55, 9.0.35, 10.0.0-M5) à partir du site web officiel du fournisseur.

REFERENCES :

  • https://www.sangfor.com/en/info-center/blog-center/cyber-security/apache-tomcat-cluster-session-deserialization-remote-code-execution-vulnerability-cve-2020-9484
  • https://security.netapp.com/advisory/ntap-20200528-0005/
  • https://github.com/PenTestical/CVE-2020-9484
  • https://nsfocusglobal.com/apache-tomcat-session-deserialization-code-execution-vulnerability-cve-2020-9484-threat-alert/

Partagez sur vos réseaux.