Pred kratkim je novica to razkrila našel nov vektor napada proti strežniku Apache http, ki je v posodobitvi 2.4.50 ostala neopažena in omogoča dostop do datotek z območij zunaj korenskega imenika spletnega mesta.
Poleg tega so raziskovalci so našli način, da ob prisotnosti določenih konfiguracij nestandardno, ne samo prebrati sistemske datoteke, ampak tudi zagnati kodo na daljavo na strežniku.
CVE-2021-41773 na strežniku HTTP Apache 2.4.50 ni zadostoval. Napadalec bi lahko uporabil napad prečkanja poti za preslikavo URL -jev v datoteke zunaj imenikov, konfiguriranih s smernicami, podobnimi vzdevkom. Če datoteke zunaj teh imenikov niso zaščitene z običajnimi privzetimi nastavitvami »zahtevajo vse zavrnjene«, so lahko te zahteve uspešne. Če so za te vzdevke omogočeni tudi skripti CGI, bi to lahko omogočilo oddaljeno izvajanje kode. Ta težava vpliva le na Apache 2.4.49 in Apache 2.4.50 in ne na starejše različice.
V bistvu, nova težava (že navedena kot CVE-2021-42013) je popolnoma podobna prvotni ranljivosti (CVE-2021-41773) ob 2.4.49, edina razlika je v drugačnem kodiranju znakov.
In to je predvsem tisto, v različici 2.4.50 je bila blokirana možnost uporabe zaporedja "% 2e" kodirati točko, ampak daIzgubili smo možnost dvojnega kodiranja: Ko podajate zaporedje "%% 32% 65", strežnik dekodira v "% 2e" in nato v ".", To je Znake "../" za prehod v prejšnji imenik lahko kodirate kot ". %% 32% 65 / ».
Oba CVE sta v resnici skoraj enaka ranljivost prehoda poti (drugi je nepopoln popravek prvega). Prehod poti deluje samo iz preslikanega URI (na primer prek direktiv Apache "Alias" ali "ScriptAlias"). DocumentRoot sam po sebi ni dovolj
V zvezi z izkoriščanjem ranljivosti z izvajanjem kode, to je mogoče, če je mod_cgi omogočen in se uporablja osnovna pot, v kateri je dovoljeno izvajanje skriptov CGI (na primer, če je omogočena direktiva ScriptAlias ali je zastavica ExecCGI podana v direktivi Možnosti).
Omenjeno je, da je predpogoj za uspešen napad tudi izrecno omogočiti v konfiguraciji Apache dostop do imenikov z izvedljivimi datotekami, kot je / bin, ali dostop do korenskega koda FS " /". Ker tak dostop običajno ni omogočen, napad na izvajanje kode v resničnih sistemih ni uporaben.
Izkoriščanje RCE za Apache 2.4.49 (CVE-2021-41773) in 2.4.50 (CVE-2021-42013):
root @ CT406: ~ # curl 'http://192.168.0.191/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.% % 32% 65 / bin / sh '–data' echo Content-Type: text / plain; vrgel ven; pojdi '
uid = 1 (daemon) gid = 1 (daemon) skupine = 1 (daemon)- ☠ Román Medina-Heigl Hernández (@roman_soft) Oktober 7, 2021
Hkrati napad na pridobivanje vsebine datoteke poljubne sistemske kode in izvorna besedila spletnih skriptov, ki so na voljo za branje uporabnikom pod katerim deluje strežnik http je še vedno pomemben. Če želite izvesti tak napad, preprosto imenik na spletnem mestu konfigurirajte z uporabo direktiv »Vzdevek« ali »ScriptAlias« (DocumentRoot ni dovolj), na primer »cgi-bin«.
Poleg tega omenja, da problem vpliva predvsem na nenehno posodobljene distribucije (tekoče izdaje), kot so Fedora, Arch Linux in Gentoo, pa tudi na vrata FreeBSD.
Medtem ko distribucije Linuxa, ki temeljijo na stabilnih vejah strežniških distribucij, kot so Debian, RHEL, Ubuntu in SUSE, niso ranljive. Težava se ne pojavi, če je dostop do imenikov izrecno zavrnjen z nastavitvijo »zahtevaj vse zavrnjene«.
Omeniti velja tudi to Od 6. do 7. oktobra je Cloudflare zabeležil več kot 300 poskusov izkoriščanja ranljivosti CVE-2021-41773 na dan. Večino časa zaradi avtomatiziranih napadov zahtevajo vsebino »/cgi-bin/.%2e/.git/config«, »/cgi-bin/.%2e/app/etc/local.xml "," /Cgi-bin/.% 2e/app/etc/env.php "in" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".
Težava se kaže le v različicah 2.4.49 in 2.4.50, na prejšnje različice ranljivosti to ne vpliva. Za odpravo nove različice ranljivosti je bila hitro oblikovana izdaja Apache httpd 2.4.51.
Končno Če vas zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.