Активно используемый Apache 0-day также допускает удаленное выполнение кода

33
Финская компания Aiven привлекла 60 млн долларов при оценке в 2 млрд долларов

Эксплойты Proof-of-Concept (PoC) для веб-сервера «нулевого дня» Apache, появившиеся в Интернете, показали, что уязвимость гораздо более критична, чем первоначально раскрытая.

Эти эксплойты показывают, что масштаб уязвимости выходит за рамки обхода пути, позволяя злоумышленникам выполнять удаленное выполнение кода (RCE).

Apache остается одним из самых популярных веб-серверов с долей рынка более 25% .

От обхода пути до удаленного выполнения кода

Уязвимость обхода пути в HTTP-сервере Apache, о которой впервые сообщил BleepingComputer, активно эксплуатировалась до того, как проект Apache был уведомлен об этой уязвимости в сентябре или получил возможность исправить ее.

Но за вчерашним раскрытием ошибки обхода пути к веб-серверу Apache, отслеживаемой как CVE-2021-41773, последовали эксплойты PoC, быстро появляющиеся в Интернете.

Но пока разрабатывались и исправлялись эксплойты PoC, было обнаружено еще одно открытие.

Злоумышленники могут использовать серверы Apache под управлением версии 2.4.49 не только для чтения произвольных файлов, но и для выполнения произвольного кода на серверах.

Исследователь безопасности Hacker Fantastic отметил, что уязвимость вскоре превращается в уязвимость удаленного выполнения кода (RCE) в системе Linux, если сервер настроен на поддержку CGI через mod_cgi.

Если злоумышленник сможет загрузить файл с помощью эксплойта обхода пути и установить разрешения на выполнение для файла, он теперь предоставил себе возможность выполнять команды с теми же привилегиями, что и процесс Apache.

Аналитик уязвимостей CERT Уилл Дорманн и исследователь безопасности Тим Браун также сообщили об успешном выполнении кода на машинах Windows.

Играя с простым PoC на своем сервере Windows, Дорманн понял, что доступ к EXE через эксплойт обхода пути, в свою очередь, запускает двоичный файл на его сервере, а не просто сбрасывает содержимое EXE.

«Я не делал ничего умного, кроме как просто воспроизводить по существу публичный PoC в Windows, когда я увидел, что запускается calc.exe», — говорит Дорманн, который дополнительно подтвердил это поведение.

«Была ли CVE-2021-41773 неправильно определена при публикации?» предположил Дорманн, указывая на примечание в исходном сообщении Apache о том, что использование уязвимости приведет, в лучшем случае, к утечке исходного кода сценариев, а не к их запуску.

Не все установки уязвимы

Хотя запросы Shodan, выполняемые BleepingComputer, показывают, что более 112 000 серверов Apache работают с уязвимой версией 2.4.49, не все серверы могут подвергаться риску.

Успех эксплойтов обхода пути зависит от множества факторов, в том числе от того, включен ли «mod-cgi» на сервере, а параметр по умолчанию «Требовать все отклонено» отсутствует в конфигурации.

Но если все элементы вышеупомянутых критериев применимы, существует высокая вероятность того, что уязвимость перерастет в выполнение произвольного кода:

«Опять же, Apache должен быть уязвимой версией 2.4.49, и mod-cgi включен, и в нем должно отсутствовать значение по умолчанию Требовать все отклонено . Но если оба из них верны, то CVE-2021-41773 будет как RCE по мере возможности », — объясняет Дорманн.

Администраторы серверов должны убедиться, что на их экземплярах HTTP-серверов Apache работают исправленные версии 2.4.50 и выше.

Аналитик Threat Intel Флориан Рот предоставил правила Sigma, чтобы помочь обнаружить активный эксплойт нулевого дня.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here