당 사의 유지고객사로부터 Apache Tomcat 취약점(Ghostcat) 조치방안의 안내문이 내려짐과 더불어,
몇 가지 안내 사항을 드립니다.
☆ 개 요
최근 Apache Tomcat의 원격코드실행 취약점(CVE-2020-1938)을 악용할 수 있는 개념증명 코드(PoC)가 공개됨에 따라 보안조치 필요
- CVE-2020-1938 : Tomcat의 AJP request 메시지 처리과정에 취약점이 있어 악의적인 원격코드 실행이 가능, 시스템 피해 발생 위험
- 취약점 공개일 : 2020. 2. 24
Apache Tomcat 취약 버전
9.0.0.M1 ~ 9.0.30 / 8.5.0 ~ 8.5.50 / 7.0.0 ~ 7.0.99
☆ 조치 방안
(방안 1) 버전별 제공되는 웹페이지를 참고하여 최신 버전으로 업데이트
(방안 2) 상황에 따라 업데이트 불가시, AJP 설정 중 secretRequired와 secret 속성을 통한 인증 제어로 취약점을 악용한 공격 무력화
- 불가피한 경우를 제외하고 AJP 포트(8009/tcp)에 대한 접근을 차단하여야 하며, AJP 커넥터 불필요시 비활성화 조치
☆ 참고 사항
Apache Tomcat 공식 홈페이지에서는 상기 취약점과 관련하여 AJP 커넥터 구성 변경이 있어 패치시 이와 관련한 조치가 필요할 수 있다고 발표
취약점 패치 후 Apache-Tomcat 연동간 무한 로딩 등 문제가 발생할 수 있어 업체를 활용한 기술 검토 등 사전 면밀 준비하여 업데이트 시행
☆ 참고 사이트
- CVE 취약점 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938
- Apache Tomcat 최신버전 관련 웹페이지
ㆍ 7.x : http://tomcat.apache.org/security-7.html
ㆍ 8.x : http://tomcat.apache.org/security-8.html
ㆍ 9.x : http://tomcat.apache.org/security-9.html
[참조.] Apache Tomcat AJP 취약점 보안 조치 권고(2차)
1. PRTG는 웹서버 운영의 Apache Tomcat을 사용하지 않습니다.
자체 웹서비스를 구현하므로, 안심하고 운영하셔도 됩니다.
2. 불가피하게 AJP를 활용 시,
PRTG 상에서는 TCP 모니터링을 통한 AJP 포트(8009/tcp)에 대한 사용 상태를 확인할 수 있습니다.
PRTG의 TCP 모니터링은 TCP 포트 기반의 상태를 감지하는 것으로,
- 단순히 활성화된 특정 TCP 포트의 모니터링 동작상태뿐아니라,
- 특정 TCP 포트가 열려있을 시, 동작 상태를 감지하고 알람을 발송 할 수 있습니다.
Step1. PRTG 모니터링 상의 웹서버의 디바이스에서, 센서 생성 - PORT를 추가
Step2. PRTG 모니터링 상의 웹서버의 디바이스에서, 센서 생성 - PORT를 추가
Note. PRTG 모니터링 PORT의 상태를 설정.
Note. PRTG 모니터링 PORT의 동작 상태에 따라, 모니터링 상태를 정의하고 변경 유무 시 장애 상태 표시 및 알람 발송 가능.
※ 필요에 따라, 이를 응용하여
Apache Tomcat의 AJP 8009 port 외에도 특정 서버 또는 외부로 부터의 원격 접근인 TCP 3389와 같은 RPC의 동작 상태도 감지가 가능합니다.
'PRTG Case Study > Case Study' 카테고리의 다른 글
PRTG Security Guide (0) | 2020.12.28 |
---|---|
AIX 서버 모니터링 (0) | 2020.09.11 |
PRTG - 웹 인터페이스 구조(그룹/디바이스 우측, 인덱스 그래프 뷰) (0) | 2020.03.24 |
PRTG - 한드림넷 HDN SG series 네트워크 모니터링 (0) | 2020.03.23 |
PRTG - NexG VForce UTM 트래픽 모니터링 (0) | 2019.10.31 |