Vulnerabilidad de ejecución remota de código en Apache Tomcat

Especialistas en análisis forense informático del Instituto Internacional de Seguridad Cibernética (IICS) reportan que Apache Software Foundation (ASF) está lanzando nuevas versiones de Tomcat, su servidor de aplicaciones. Acorde a los expertos, esto se debe a la presencia de una vulnerabilidad que permitiría a un hacker remoto ejecutar código malicioso y tomar control del servidor comprometido. 

Apache Tomcat es un desarrollo de ASF; es un servidor web de código abierto y un sistema servlet que emplea varias especificaciones de Java, como Java Servlet, JavaServer Pages y Expression Language para proporcionar un entorno de servidor HTTP en el que sea posible ejecutar Java.

La vulnerabilidad de ejecución remota de código (identificada como CVE-2019-0232) reside en el Servlet de Common Gateway Interface (CGI) cuando se ejecuta en Windows con enableCmdLineArguments habilitado; la vulnerabilidad se presenta debido a un error en la manera en la que el entorno de ejecución de Java pasa los argumentos de la línea de comandos a Windows, reportan los expertos en análisis forense informático.  

La vulnerabilidad de ejecución remota de código ha sido calificada como ‘importante, mas no crítica’, debido a que tanto CGI Servlet y la opción enableCmdLineArguments se encuentran deshabilitadas de forma predeterminada en Apache Tomcat versiones 9.0.x. Además, ASF informó que, como medida de seguridad, la opción enableCmdLineArguments del servlet CGI será deshabilitada de forma predeterminada en todas las versiones de Apache Tomcat.

Los especialistas en análisis forense informático mencionan que, de ser explotada exitosamente, esta vulnerabilidad permitiría a un actor de amenazas ejecutar comandos arbitrarios en un servidor de Windows específico que ejecute la versión vulnerable de Apache Tomcat, lo que podría comprometer el sistema atacado por completo.

ASF menciona que los encargados de la seguridad de Tomcat recibieron el informe de la vulnerabilidad a inicios del mes de marzo; la vulnerabilidad fue revelada públicamente en días recientes, después de que Apache publicara los parches de actualización correspondientes. 

ASF ha recomendado a los administradores instalar estas correcciones lo más pronto posible; en caso de que no sea posible actualizar los sistemas de inmediato, se recomienda asegurarse de que enableCmdLineArguments del parámetro de inicialización de CGI esté en falso.

(Visited 305,1 times)