Kritická zraniteľnosť Apache HTTP server

Apache Software Foundation vydala dôležité opravy kritickej zraniteľnosti, ktorá umožňuje potenciálnemu útočníkovi odosielať požiadavky a získať prístup k súborom na backende webového servera. Zraniteľnosť sa nachádza len vo verzii Apache 2.4.49. Úspešným zneužitím zraniteľnosti môže prísť k úniku binárnych súborov ako sú napríklad CGI skripty, či zmapovaniu súborov mimo publikovaných web root súborov. Zraniteľnosť je aktívne zneužívaná útočníkmi. CSIRT.SK odporúča bezodkladnú aktualizáciu zraniteľných systémov.

Opis činnosti:

CVE-2021-41773

Zraniteľnosť web servera Apache verzie 2.4.49 existuje z dôvodu nesprávneho spracovania ASCII znakov v požiadavke HTTP GET pre prechod medzi súbormi publikovanými webovým serverom. Potenciálny útočník sa pomocou manipulovania s premennými využívanými na prechod medzi súbormi, ktoré sú publikované na serveri, môže dostať aj k ľubovoľným nevypublikovaným súborom a adresárom uloženým kdekoľvek v súborovom systéme servera.

Aby potenciálny útočník mohol zraniteľnosť zneužiť, cieľ útoku musí mať deaktivovaný parameter riadenia prístupu k webovému serveru „require all denied“. Zdá sa, že toto nastavenie je deaktivované v predvolenej konfigurácii. 

Úspešné zneužitie zraniteľnosti webového serveru Apache by umožnilo potenciálnemu útočníkovi získať prístup k citlivým dátam na backendovej strane servera.

Zraniteľné systémy:

  • Apache 2.4.49 a 2.4.50 (opravené v r1893655)

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Únik citlivých údajov

Odporúčania:

  • Aktualizovať Apache verziu 2.4.49 a 2.4.50 na opravenú verziu Apache 2.4.51

Odkazy:

https://www.bleepingcomputer.com/news/security/apache-fixes-actively-exploited-zero-day-vulnerability-patch-now/

https://thehackernews.com/2021/10/apache-warns-of-zero-day-exploit-in.html

https://nvd.nist.gov/vuln/detail/CVE-2021-41773

https://httpd.apache.org/security/vulnerabilities_24.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41773

https://www.rapid7.com/blog/post/2021/10/06/apache-http-server-cve-2021-41773-exploited-in-the-wild/