Zero-day zranitelnost webového serveru Apache lze snadno zneužít

Apache HTTP Server je softwarový webový server s otevřeným kódem pro GNU/Linux, BSD, Solaris, macOS, Microsoft Windows a další platformy. V současné době dodává prohlížečům na celém světě většinu internetových stránek.

Apache Software Foundation vydala 4. října bezpečnostní opravu k řešení zranitelnosti svého projektu HTTP Web Server, který byl aktivně využíván. Ačkoliv se odhady různí, dá se říct, že třetina až čtvrtina internetových serverů si s problémem poradí. Mějte na paměti, že i když na Apache nespouštíte veřejné webové servery své organizace (možná používáte populární produkt nginx v Unixu nebo Microsoft IIS v systému Windows), můžete přesto mít Apache spuštěný někde ve své síti.

Jakýkoli softwarový produkt, který má vlastní rozhraní HTTP, jako je například systém pro správu dokumentů nebo support ticketing system, může Apache používat jako svůj vestavěný webový server. Měli byste tedy zkontrolovat svou síť, a to nejen webové servery vytvořené pro externí návštěvníky, ale také pro servery HTTP ve své síti, které by útočníci mohli použít k rozšíření již probíhajícího útoku.

Chyba s názvem CVE-2021-41773 byla odhalena před méně než měsícem v Apache 2.4.49. Takže uživatelů, kteří minule nedbali na aktualizaci a stále využívají verzi 2.4.48 nebo starší, se tato zranitelnost vyhne. Chcete-li chybu opravit, okamžitě upgradujte na Apache 2.4.51.

Chyba CVE-2021-41773, dokumentovaná jako „zranitelnost při procházení cesty a zveřejňování souborů“, se možná v Apache nepozorovaně nachází už roky. K chybě při procházení cesty dochází, když se uživatel pokusí získat přístup k souboru na serveru, který by měl být zablokován, ale bezpečnostní kontrola názvu souboru se nezdaří. Je snadné se při programování dopustit chyby, protože existuje mnoho různých způsobů odkazování na stejný soubor a je zapotřebí je vzít všechny v úvahu.

• Pokud máte Apache 2.4.49 nebo 2.4.50, musíte jej okamžitě aktualizovat na verzi 2.4.51. Chyba je široce známá a ukázkový kód ke zneužití je dostupný online.
• Pokud máte starší verzi Apache, tato chyba se vás netýká. Pokud jste minule nestihli verzi aktualizovat (verze 2.4.49 vyšla 15. září 2021), jste v bezpečí.
• Neopravujte tuto zranitelnost pouze na webových serverech směřujících do internetu. Nejprve opravte ty veřejně přístupné, protože právě tam hrozí bezprostřední nebezpečí. Očekávejte však, že kybernetičtí zločinci přijmou tuto chybu jako „boční manévr“, jakmile již budou mít předmostí uvnitř sítě, protože je velmi snadno zneužitelná.
• Pokud si nejste jistí, zda některý z vašich webových softwarů obsahuje Apache, informujte se u svých dodavatelů. Pokud máte k dispozici nástroje pro skenování sítě, jako je Nmap, můžete testovat servery HTTP nebo HTTPS ve své vlastní síti a zkontrolovat jejich hlavičky odpovědí, které často odhalují používaný kód serveru, zejména v záhlaví.

Podle vyhledávání webového serveru Shodan je na zranitelné verzi spuštěno necelých 112 000 serverů Apache HTTP. Jiné zranitelné webové servery však mohou být nakonfigurovány tak, aby nezobrazovaly informace o verzi.

* Výrazem Remote Code Execution označujeme rodinu zranitelností, které umožňují spuštění libovolného kódu na vzdáleném systému. V závislosti na nastavení serveru může útočník při zdárném útoku číst, mazat, nebo upravovat libovolná data aplikace včetně zdrojových kodů.

** Techniky, které používají kybernetičtí útočníci k postupnému procházení sítí při hledání klíčových dat.

https://therecord.media/apache-fixes-actively-exploited-web-server-zero-day/
https://nakedsecurity.sophos.com/2021/10/06/apache-web-server-zero-day-bug-is-easy-to-exploit-patch-now/
https://www.soom.cz/lexikon-webovych-zranitelnosti/22--Remote-Code-Execution-RCE
https://www.tenable.com/blog/cve-2021-41773-path-traversal-zero-day-in-apache-http-server-exploited