Fa poc es va donar a conèixer la notícia que es va trobar un nou vector d'atac contra el servidor http Apache, que va romandre sense pegats en l'actualització 2.4.50 i permet l'accés a fitxers des d'àrees fora del directori root del lloc.
A més, els investigadors han trobat una manera que, en presència de certes configuracions no estàndard, no només llegeixin els fitxers del sistema, sinó que també executin remotament el seu codi al servidor.
CVE-2021-41773 a Apache HTTP Server 2.4.50 era insuficient. Un atacant podria utilitzar un atac de recorregut de ruta per assignar URL a fitxers fora dels directoris configurats per directives similars a Àlies. Si els fitxers fora d'aquests directoris no estan protegits per la configuració predeterminada habitual «requereixen tots denegats», aquestes sol·licituds poden tenir èxit. Si els scripts CGI també estan habilitats per a aquests pegats amb àlies, això podria permetre l'execució remota de codi. Aquest problema només afecta Apache 2.4.49 i Apache 2.4.50 i no versions anteriors.
en essència, el nou problema (ja catalogat com a CVE-2021-42013) és completament similar a la vulnerabilitat original (CVE-2021-41773) a 2.4.49, lúnica diferència està en una codificació de caràcters diferent.
I és que en particular, a la versió 2.4.50 es va bloquejar la possibilitat d'utilitzar la seqüència «%2e» per codificar un punt, però si va perdre la possibilitat d'una doble codificació: en especificar la seqüència «%% 32% 65», el servidor descodificat a «% 2e», i després a «.», és a dir Els caràcters «../» per anar al directori anterior es poden codificar com a «. %% 32% 65 /».
Tots dos CVE són de fet gairebé la mateixa vulnerabilitat de recorregut de ruta (la segona és la solució incompleta per a la primera). El recorregut de la ruta només funciona des d'un URI mapejat (per exemple, a través de les directives Apache “Alias” o “ScriptAlias”). DocumentRoot només no és suficient
Pel que fa a l'explotació d'una vulnerabilitat a través de l'execució de codi, això és possible si mod_cgi està habilitat i s'utilitza una ruta base en la qual es permet l'execució de scripts CGI (per exemple, si la directiva ScriptAlias està habilitada o s'especifica l'indicador ExecCGI a la directiva Opcions).
S'esmenta que un requisit previ per a un atac exitós és també proporcionar explícitament a la configuració d'Apache accés a directoris amb fitxers executables, com / bin, o accés a l'arrel FS «/». Com que normalment no es proporciona aquest accés, un atac d'execució de codi és de poca utilitat per als sistemes reals.
RCE exploit both for Apache 2.4.49 (CVE-2021-41773) and 2.4.50 (CVE-2021-42013):
root@CT406:~# curl 'http://192.168.0.191/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.% %32%65/bin/sh' –data 'fet Content-Type: text/plain; fet; aneu'
uid=1(daemon) gid=1(daemon) groups=1(daemon)— ☠ Román Medina-Heigl Hernández (@roman_soft) Octubre 7, 2021
Alhora, l'atac a l'obtenció de contingut d'arxius de sistema arbitraris i textos font de scripts web que estan disponibles per a lectura per a l'usuari sota el qual s'executa el servidor http continua sent rellevant. Per dur a terme un atac d'aquest tipus, només cal tenir un directori al lloc configurat utilitzant les directives Àlies o ScriptAlias (DocumentRoot no és suficient), com cgi-bin.
A més d'això que esmenta que el problema afecta principalment a distribucions contínuament actualitzades (Rolling Release) com ho són Fedora, Arch Linux i Gentoo, així com també els ports de FreeBSD.
Mentre que les distribucions de Linux que es basen en branques estables de les distribucions de servidor com ho són Debian, RHEL, Ubuntu i SUSE no són vulnerables. El problema no apareix si es denega explícitament l'accés als directoris mitjançant la configuració "requerir tot denegat".
També val la pena esmentar que el 6 i el 7 d'octubre, Cloudflare va registrar més de 300 mil intents d'explotar la vulnerabilitat CVE-2021-41773 per dia. La majoria de vegades, com a resultat d'atacs automatitzats, sol·liciten el contingut de «/cgi-bin/.%2e/.git/config», «/cgi-bin/.%2e/app/etc/local.xml» , «/cgi-bin/.% 2e/app/etc/env.php» i «/cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd».
El problema només es manifesta a les versions 2.4.49 i 2.4.50, les versions anteriors de la vulnerabilitat no es veuen afectades. Per corregir la nova variant de la vulnerabilitat, es va formar ràpidament el llançament d'Apache httpd 2.4.51.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.