12.10.2021

Vulnerabilități ale serverelor Apache

Apache a lansat recent patch-uri pentru a aborda două vulnerabilități de securitate, incluzând o problemă „path traversal” și una „file disclosure” identificate la nivelul serverelor sale HTTP și despre care se presupune că sunt exploatate activ.
„O problemă a fost găsită la o modificare făcută la „path normalization” din Apache HTTP Server 2.4.49. Un atacator poate utiliza „path traversal” pentru a mapa URL-uri la fișiere din afara documentului root așteptat”, au menționat administratorii proiectului open-source într-o atenționare publicată marți, 5 octombrie 2021.
”Dacă fișierele din afara documentului root nu sunt protejate prin „require all denied”, aceste cereri pot avea succes. În plus, problema poate duce la scurgerea sursei fișierelor interpretate precum script-urile CGI.”
Vulnerabilitatea, cunoscută ca CVE-2021-41773, afectează versiunile 2.4.49 și 2.4.50 a Appache HTTP server. Ash Daulton și cPanel Security Team au fost creditați pentru descoperirea și raportarea problemei la 29 septembrie 2021.
Apache a reparat și o vulnerabilitate „null pointer dereference” observată în timpul procesării cererilor HTTP/2 (CVE-2021-41524), ce permite unui atacator să realizeze un atac denial-of-service (DoS) la nivelul serverului. Corporația non-profit a indicat că vulnerabilitatea a fost introdusă în versiunea 2.4.49.


IMPORTANT!!! Vulnerabilitatea zero-day „path traversal” conduce la atacuri RCE
Vulnerabilitatea zero-day a Apache HTTP server, exploatată activ, este mult mai severă decât s-a considerat inițial, având noi exploit-uri proof-of-concept (Poc) ce arată că vulnerabilitatea depășește „path traversal” pentru a da atacatorilor abilități pentru executarea de cod de la distanță (RCE). Cercetătorul de securitate Hacker Fantastic a menționat pe Twitter că vulnerabilitatea este „de fapt RCE, având în vedere că „mod-cgi” este activat”.
Scanarea activă este în curs de desfășurare de la mai multe locații distincte (Canada, Germania, India, Luxemburg Țările de Jos, Singapore, Regatul Unit al Marii Britanii, Statele Unite ale Americii) și verifică serverele Apache HTTP vulnerabile la CVE-2021-41773. Se preconizează că procesul va accelera, ceea ce ar putea duce cât de curând la exploatare.


Echipa CERT Orange Moldova recomandă deținătorilor de servere vulnerabile să aplice imediat patch-urile corespunzătoare pentru remediere.
În cazul în care sunteţi ţinta unui atac cibernetic Echipa Orange Moldova CERT vă pune la dispoziție consultanţă gratuită şi o suită de soluţii avansate de securitate cibernetică. Contactează un expert la 700 sau 022977700 pentru a primi suport instant.


Surse
Mai multe informaţii despre aceste vulnerabilităţi:
Apache Warns of Zero-Day Exploit in the Wild — Patch Your Web Servers Now!

Subiecte asemănătoare