Honderden Nederlandse webservers met Apache Tomcat bevatten een kwetsbaarheid waardoor een aanvaller in het ergste geval willekeurige code op de server kan uitvoeren. Inmiddels is er ook exploitcode online verschenen. Een beveiligingsupdate is sinds 12 februari beschikbaar.
De kwetsbaarheid, die al tien jaar in Tomcat aanwezig bleek te zijn en Ghostcat wordt genoemd, bevindt zich in het Tomcat Apache JServ-protocol. Dit is een protocol dat inkomende aanvragen van een webserver kan doorsturen naar een applicatieserver die zich achter de webserver bevindt. Door de kwetsbaarheid kan een aanvaller bestanden in de webapp-directories van Tomcat lezen of toevoegen. Zo is het mogelijk om configuratiebestanden of broncode uit te lezen. Wanneer de webapplicatie een uploadfunctie biedt kan een aanvaller kwaadaardige code op de server uitvoeren.
Op 12 februari kwam de Apache Software Foundation met beveiligingsupdates, namelijk Apache Tomcat versies 7.0.100, 8.5.51 en 9.0.31. Daarnaast zijn er mitigerende maatregelen, zo laat het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid weten. Securitybedrijf Tenable stelt in een analyse van de kwetsbaarheid dat er inmiddels proof-of-concept exploitcode online is verschenen waarmee de kwetsbaarheid is te misbruiken.
Hierdoor is het risico voor tal van organisaties toegenomen. Het Dutch Institute for Vulnerability Disclosure (DIVD) meldt namelijk dat er alleen in Nederland 773 kwetsbare ip-adressen zijn gevonden. Beheerders die de update nog niet hebben geïnstalleerd krijgen het advies dit te doen.
Bron: Security.nl