Nesen šīs ziņas to uzzināja atrada jaunu uzbrukuma vektoru pret Apache http serveri, kas palika neatlabots 2.4.50 atjauninājumā un ļauj piekļūt failiem no apgabaliem ārpus vietnes saknes direktorija.
Turklāt pētnieki ir atraduši veidu, kā noteiktu konfigurāciju klātbūtnē nestandarta, ne tikai lasīt sistēmas failus, bet arī palaist attālināti ievadiet savu kodu serverī.
CVE-2021-41773 Apache HTTP Server 2.4.50 nebija pietiekams. Uzbrucējs varētu izmantot ceļu šķērsošanas uzbrukumu, lai kartētu URL uz failiem ārpus direktorijiem, kas konfigurēti ar līdzīgām direktīvām. Ja failus, kas atrodas ārpus šiem direktorijiem, neaizsargā parastie noklusējuma iestatījumi "pieprasīt visu liegto", šie pieprasījumi var būt veiksmīgi. Ja šiem alternatīvajiem ielāpiem ir iespējoti arī CGI skripti, tas var atļaut attālu koda izpildi. Šī problēma skar tikai Apache 2.4.49 un Apache 2.4.50, nevis iepriekšējās versijas.
Būtībā, jaunā problēma (jau norādīta kā CVE-2021-42013) tā ir pilnīgi līdzīga sākotnējai ievainojamībai (CVE-2021-41773) plkst. 2.4.49, vienīgā atšķirība ir atšķirīgā rakstzīmju kodējumā.
Un tas ir jo īpaši, versijā 2.4.50 tika bloķēta iespēja izmantot secību "% 2e" kodēt punktu, bet jāzaudēja dubultās kodēšanas iespēju: Norādot secību "%% 32% 65", serveris atšifrē "% 2e" un pēc tam ".", Tas ir, rakstzīmes "../", lai pārietu uz iepriekšējo direktoriju, var kodēt kā ". %% 32% 65 / ».
Abi CVE patiesībā ir gandrīz vienādi ceļa ievainojamības ievainojamības (otrais ir nepilnīgais labojums pirmajam). Ceļa šķērsošana darbojas tikai no kartēta URI (piemēram, izmantojot Apache "Alias" vai "ScriptAlias" direktīvas). Ar DocumentRoot vien nepietiek
Attiecībā uz ievainojamības izmantošanu izmantojot koda izpildi, tas ir iespējams, ja mod_cgi ir iespējots un tiek izmantots bāzes ceļš, kurā ir atļauts palaist CGI skriptus (piemēram, ja ir iespējota direktīva ScriptAlias vai opcija Direktīva ir norādīts karogs ExecCGI).
Tiek minēts, ka veiksmīga uzbrukuma priekšnoteikums ir arī Apache konfigurācijā skaidri nodrošināt piekļuvi direktorijiem ar izpildāmiem failiem, piemēram, / bin, vai piekļuvi FS saknei " /". Tā kā šāda piekļuve parasti netiek nodrošināta, koda izpildes uzbrukums reālām sistēmām ir maz noderīgs.
RCE izmanto gan Apache 2.4.49 (CVE-2021-41773), gan 2.4.50 (CVE-2021-42013):
root @ CT406: ~ # curl 'http://192.168.0.191/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.% % 32% 65 / bin / sh '–data' echo Content-Type: text / plain; izmest ārā; iet '
uid = 1 (dēmons) gid = 1 (dēmons) grupas = 1 (dēmons)- ☠ Román Medina-Heigl Hernández (@roman_soft) Oktobris 7, 2021
Tajā pašā laikā uzbrukums faila satura iegūšanai patvaļīgi sistēmas kodi un tīmekļa skriptu avota teksti ir pieejami lietotāju lasīšanai saskaņā ar kuru darbojas http serveris, joprojām ir aktuāls. Lai veiktu šādu uzbrukumu, vienkārši izveidojiet vietnes direktoriju, izmantojot direktīvas "Alias" vai "ScriptAlias" (nepietiek ar DocumentRoot), piemēram, "cgi-bin".
Papildus tam viņš min, ka problēma galvenokārt skar pastāvīgi atjauninātos izplatījumus (Rolling Releases), piemēram, Fedora, Arch Linux un Gentoo, kā arī FreeBSD portus.
Kaut arī Linux izplatījumi, kuru pamatā ir stabilas serveru izplatīšanas filiāles, piemēram, Debian, RHEL, Ubuntu un SUSE, nav neaizsargāti. Problēma neparādās, ja piekļuve direktorijiem ir skaidri liegta, izmantojot iestatījumu »pieprasīt visu liegto».
Ir arī vērts to pieminēt 6.-7.oktobrī Cloudflare reģistrēja vairāk nekā 300 XNUMX mēģinājumu izmantot ievainojamību CVE-2021-41773 dienā. Lielāko daļu laika automātisku uzbrukumu dēļ viņi pieprasa "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml saturu "," /Cgi-bin/.% 2e/app/etc/env.php "un" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".
Problēma izpaužas tikai versijās 2.4.49 un 2.4.50, iepriekšējās ievainojamības versijas netiek ietekmētas. Lai labotu jauno ievainojamības variantu, ātri tika izveidots Apache httpd 2.4.51 laidiens.
Beidzot Ja jūs interesē uzzināt vairāk par to, jūs varat pārbaudīt informāciju Šajā saitē.