SRV-060 (Tomcat) 웹 서비스 기본 계정(아이디 또는 비밀번호) 미변경

SRV-060 (Tomcat) 웹 서비스 기본 계정(아이디 또는 비밀번호) 미변경

【 상세설명 】
Tomcat은 Apache 웹 서버에 JSP와 자바 서블릿을 실행시킬 수 있는 기능을 제공하는 자바 애플리케이션 서버로 Tomcat이 설치될 때 기본으로 설정되는 계정을 변경하지 않을 경우 비인가자에 의한 시스템 접근이 발생할 수 있으므로 기본 계정에 대한 보안 설정의 적절성 여부를 점검

【 판단기준 】
- 양호 : 관리자 계정/패스워드가 디폴트 설정 이외의 다른 값으로 설정되어 있을 경우
- 취약 : 관리자 계정/패스워드가 디폴트 값으로 설정되어 있을 경우

【 판단방법 】
  1. 웹 서비스 콘솔 계정 및 비밀번호 설정 확인
    ※ Tomcat 설정 파일의 "tomcat-users" 의 콘솔 계정 및 비밀번호 설정 확인(Default 계정명 및 비밀번호를 사용하는 경우 "취약")
    ※ Tomcat 의 콘솔 Default 계정명: tomcat, both, role1, admin, robot

  ■ Linux, AIX, HP-UX, SOLARIS
      # cat $CATALINA_HOME/tomcat-users.xml    
      # cat $CATALINA_HOME/config/tomcat-users.xml

  ■ Windows
      cmd > notepad %CATALINA_HOME%\tomcat-users.xml    
      cmd > notepad %CATALINA_HOME%\config\tomcat-users.xml

      [Tomcat 4, 5, 6.0.45, 7.0.68, 8.0.32 이하 버전]
          <tomcat-users>
              <user name="tomcat" password="tomcat" roles="tomcat" />
              <user name="role1"  password="tomcat" roles="role1"  />
              <user name="both"   password="tomcat" roles="tomcat,role1" />
          </tomcat-users>

      [Tomcat 6.0.47, 7.0.69, 8.0.33 이상 버전]
          <tomcat-users xmlns="http://tomcat.apache.org/xml"
                          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                          xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
                          version="1.0">
          <--
              <user username="admin" password="<must-be-changed>" roles="manager-gui"/>
              <user username="robot" password="<must-be-changed>" roles="manager-script"/>
          -->
          ...
          <--
              <role rolename="tomcat"/>
              <role rolename="role1"/>
              <user username="tomcat" password="<must-be-changed>" roles="tomcat"/>
              <user username="both" password="<must-be-changed>" roles="tomcat,role1"/>
              <user username="role1" password="<must-be-changed>" roles="role1"/>
          -->
          </tomcat-users>

    ※ Tomcat 6 이상 버전부터 콘솔 기본 계정 설정이 주석 처리되어 설정 예시문으로 존재
    ※ Tomcat 6.0.47, 7.0.69, 8.0.33 이상 버전부터 콘솔 계정 설정 예시문의 비밀번호가 "tomcat" 에서 "<must-be-changed>" 로 변경

【 조치방법 】
  1. 웹 서비스 설정 파일의 콘솔 계정 및 비밀번호 설정 변경 또는 주석 처리
    ※ Tomcat 설정 파일의 "tomcat-users" 의 콘솔 계정 및 비밀번호 설정 변경 또는 주석 처리

2024-01-13 : (조치과정 삭제)