Vulnerabilități ale serverelor Apache exploatate activ – Actualizați imediat!
Apache a lansat patch-uri pentru a aborda două vulnerabilități de securitate, incluzând o problemă „path traversal” și una „file disclosure” identificate la nivelul serverelor sale HTTP și despre care se crede că sunt exploatate activ.
„O problemă a fost găsită la o modificare făcută la „path normalization” din Apache HTTP Server 2.4.49. Un atacator poate utiliza „path traversal” pentru a mapa URL-uri la fișiere din afara documentului root așteptat”, au menționat administratorii proiectului open-source într-o atenționare publicată marți, 5 octombrie 2021.
”Dacă fișiere din afara documentului root nu sunt protejate prin „require all denied”, aceste cereri pot avea succes. În plus, problema poate duce la scurgerea sursei fișierelor interpretate precum script-urile CGI.”
Vulnerabilitatea, cunoscută ca CVE-2021-41773, afectează versiunile 2.4.49 și 2.4.50 a Appache HTTP server. Ash Daulton și cPanel Security Team au fost creditați pentru descoperirea și raportarea problemei la 29 septembrie 2021.
Apache a reparat și o vulnerabilitate „null pointer dereference” observată în timpul procesării cererilor HTTP/2 (CVE-2021-41524), ce permite unui atacator să realizeze un atac denial-of-service (DoS) la nivelul serverului. Corporația non-profit a indicat că vulnerabilitatea a fost introdusă în versiunea 2.4.49.
Vulnerabilitatea zero-day „path traversal” conduce la atacuri RCE
Vulnerabilitatea zero-day a Apache HTTP server, exploatată activ, este mult mai severă decât s-a considerat inițial, având noi exploit-uri proof-of-concept (Poc) ce arată că vulnerabilitatea depășește „path traversal” pentru a da atacatorilor abilități pentru executarea de cod de la distanță (RCE). Cercetătorul de securitate Hacker Fantastic a menționat pe Twitter că vulnerabilitatea este „de fapt RCE, având în vedere că „mod-cgi” este activat”.
Will Dormann, analist la CERT/CC a coroborat rezultatele, adăugând „nu am făcut nimic special în afară de reproducerea PoC-ului public pe Windows, când am observat că a pornit calc.exe.”
Încă există în România peste 2000 servere cu Apache HTTP Server 2.4.49 și 2.4.50 expuse la vulnerabilitatea critică CVE-2021-41773: 1998 pentru varianta 2.4.49, respectiv 304 pentru 2.4.50.
Scanarea activă este în curs de desfășurare de la mai multe locații distincte (Canada, Germania, India, Luxemburg Țările de Jos, Singapore, Regatul Unit al Marii Britanii, Statele Unite ale Americii) și verifică serverele Apache HTTP vulnerabile la CVE-2021-41773. Se preconizează că procesul va accelera, ceea ce ar putea duce cât de curând la exploatare.
Echipa Directoratului Național de Securitate Cibernetică a trimis deja notificări în acest sens către deținătorii de servere vulnerabile și recomandă să aplicați imediat patch-urile corespunzătoare pentru remediere:
Sursa: https://thehackernews.com/2021/10/apache-warns-of-zero-day-exploit-in.html
