Kritická zraniteľnosť Apache HTTP server
Apache Software Foundation vydala dôležité opravy kritickej zraniteľnosti, ktorá umožňuje potenciálnemu útočníkovi odosielať požiadavky a získať prístup k súborom na backende webového servera. Zraniteľnosť sa nachádza len vo verzii Apache 2.4.49. Úspešným zneužitím zraniteľnosti môže prísť k úniku binárnych súborov ako sú napríklad CGI skripty, či zmapovaniu súborov mimo publikovaných web root súborov. Zraniteľnosť je aktívne zneužívaná útočníkmi. CSIRT.SK odporúča bezodkladnú aktualizáciu zraniteľných systémov.
Opis činnosti:
CVE-2021-41773
Zraniteľnosť web servera Apache verzie 2.4.49 existuje z dôvodu nesprávneho spracovania ASCII znakov v požiadavke HTTP GET pre prechod medzi súbormi publikovanými webovým serverom. Potenciálny útočník sa pomocou manipulovania s premennými využívanými na prechod medzi súbormi, ktoré sú publikované na serveri, môže dostať aj k ľubovoľným nevypublikovaným súborom a adresárom uloženým kdekoľvek v súborovom systéme servera.
Aby potenciálny útočník mohol zraniteľnosť zneužiť, cieľ útoku musí mať deaktivovaný parameter riadenia prístupu k webovému serveru „require all denied“. Zdá sa, že toto nastavenie je deaktivované v predvolenej konfigurácii.
Úspešné zneužitie zraniteľnosti webového serveru Apache by umožnilo potenciálnemu útočníkovi získať prístup k citlivým dátam na backendovej strane servera.
Zraniteľné systémy:
- Apache 2.4.49 a 2.4.50 (opravené v r1893655)
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Únik citlivých údajov
Odporúčania:
- Aktualizovať Apache verziu 2.4.49 a 2.4.50 na opravenú verziu Apache 2.4.51
Odkazy:
https://thehackernews.com/2021/10/apache-warns-of-zero-day-exploit-in.html
https://nvd.nist.gov/vuln/detail/CVE-2021-41773
https://httpd.apache.org/security/vulnerabilities_24.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41773
https://www.rapid7.com/blog/post/2021/10/06/apache-http-server-cve-2021-41773-exploited-in-the-wild/