Cyberthreat.id – Ada kerentanan (vulnerability) yang mempengaruhi Apache Tomcat. Kerentanan ini dapat dieksploitasi untuk membaca file dari server dan dalam beberapa kasus, bahkan untuk mencapai eksekusi kode jauh.

Kerentanan yang dijuluki “Ghostcat” (CVE-2020-1938) itu ditemukan oleh peneliti di perusahaan cybersecurity China, Chaitin Tech. Mereka melaporkan temuan itu ke Apache Software Foundation—pengembang Apache Tomcat—pada 3 Januari 2020.

Menurut SecurityWeek, Jumat (28 Februari 2020), kerentanan mempengaruhi Apache Tomcat versi 6 hingga 9 dari wadah servlet Java sumber terbuka.

Sekadar diketahui, Apache adalah perangkat lunak web server gratis dan sumber terbuka (open-source). Apache, menurut Hostinger, memudahkan pemilik situs web untuk membuat konten di web. Fungsi web server ialah mengelola situs web yang telah online;  berperan sebagai perantara antara mesin server dan klien--menarik konten dari server pada setiap permintaan pengguna dan mengirimkannya ke web. Apache termasuk salah satu web server tertua dan pertama kali dirilis pada 1995.

Sementara, Apache Tomcat, meski dikenal sebagai HTTP server, mendukung aplikasi Java alih-alih situs web statis. Tomcat mampu menjalankan beberapa spesifikasi Java yang berbeda-beda, seperti Java Servlet, JavaServer Pages (JSP), Java El, dan WebSocket. Tomcat dibuat secara khusus untuk aplikasi Java, sedangkan Apache ditujukan untuk HTTP server. 

Pengembang telah merilis penambalan (patch) untuk celah keamanan Tomcat awal Februari lalu untuk versi 9.0.31, 8.5.51, dan 7.0.100, sedangkan versi 6 kini tidak lagi didukung patch. Anehnya, kerentanan telah ada selama lebih dari satu dekade.

Chaitin mengatakan kerentanan terkait dengan protokol Apache JServ Protocol (AJP), yang dirancang untuk meningkatkan kinerja dengan mem-proxy permintaan masuk dari server web hingga server aplikasi.

Konektor AJP yang digunakan oleh Tomcat dipengaruhi oleh kelemahan yang dapat dieksploitasi oleh penyerang jarak jauh yang tidak terautentikasi; mereka bisa mengakses konfigurasi dan file kode sumber untuk aplikasi web yang digunakan pada server.

Jika sistem memungkinkan pengguna untuk mengunggah file, penyerang dapat mengunggah kode JSP berbahaya ke server dan menggunakan Ghostcat untuk mengeksekusi kode itu.

Ghostcat memengaruhi konfigurasi default Tomcat dan banyak server mungkin rentan terhadap serangan langsung dari internet.

Chaitin telah menyediakan alat yang bisa digunakan secara online dan offline untuk menentukan apakah server dipengaruhi oleh Ghostcat atau tidak.[]