Dhawaan warku wuxuu faafiyay taas helay vector weerar cusub oo ka dhan ah server -ka Apache http, taas oo aan ku xirnayn cusboonaysiinta 2.4.50 waxayna u oggolaaneysaa marin u helka faylalka meelaha ka baxsan diiwaanka xididka goobta.
Intaa waxaa dheer, cilmi -baarayaasha waxay heleen hab taas oo ah, iyadoo ay jiraan habayn gaar ah aan caadi ahayn, ma aha oo kaliya akhrinta faylasha nidaamka, laakiin sidoo kale orda fog aad code on server.
CVE-2021-41773 ee Apache HTTP Server 2.4.50 kuma filnayn. Weeraryahanku wuxuu adeegsan karaa weerar waddo -marin ah si uu khariidadeeyo URL -yada faylasha ka baxsan tilmaamaha lagu habeeyay tilmaamaha la midka ah Aliases. Haddii feylasha ka baxsan tusayaashan aan lagu ilaalin sida caadiga ah ee caadiga ah "waxay u baahan yihiin in la diido oo dhan", codsiyadaasi way guulaysan karaan. Haddii qoraallada CGI ay sidoo kale u suurta gasho baloogyadan aan la aqoon, tani waxay oggolaan kartaa fulinta koodhka fog. Arrintan ayaa kaliya saameyneysa Apache 2.4.49 iyo Apache 2.4.50 ee ma aha qoraallo hore.
Asal ahaan, dhibaatada cusub (oo hore loogu qoray CVE-2021-42013) waxay gebi ahaanba la mid tahay nuglaanta asalka ah (CVE-2021-41773) ee 2.4.49, farqiga kaliya ayaa ku jira koodh dabeecad oo kala duwan.
Waana taas si gaar ah, nooca 2.4.50 suurtagalnimada adeegsiga isku xigxiga "% 2e" waa la xanibay si aad u qorto dhibic, laakiin haae wuxuu lumiyay suurtogalnimada labalaabaynta: Marka la qeexayo isku xigxiga "%% 32% 65", adeegaha ayaa ku qeexay "% 2e", ka dibna ".", Taasi waa jilayaasha "../" si aad u tagto tusaha hore waxaa loo qori karaa ". %% 32% 65 / ».
Labadaba CVEs dhab ahaantii waxay isku dhow yihiin waddo u nuglaanta marin -habaabinta (tan labaad waa hagaajinta aan dhammaystirnayn tan hore). Jid -goynta wadadu waxay kaliya ka shaqaysaa URI khariidaysan (tusaale ahaan, iyada oo loo marayo Apache "Alias" ama "ScriptAlias"). DocumentRoot kaligeed kuma filna
Marka laga hadlayo ka faa'iidaysiga nuglaanta iyada oo loo marayo fulinta koodhka, tani waa suurtogal haddii mod_cgi karti loo yeesho iyo dariiqa aasaasiga ah ayaa loo adeegsadaa kaas oo qoraallada CGI loo oggol yahay inay ku shaqeeyaan (tusaale ahaan, haddii dardaaranka ScriptAlias la awoodo ama calanka ExecCGI lagu cayimay dardaaranka Xulashada).
Waxaa la xusay in shardi u ah weerarka guuleysta sidoo kale ay tahay in si cad loogu bixiyo qaabeynta Apache helitaanka tusayaasha faylasha la fulin karo, sida / bin, ama marin u helka xididka FS " /". Maaddaama marin -u -helkaas aan caadi ahaan la bixin, weerarka fulinta koodhku aad buu u yar yahay nidaamyada dhabta ah.
RCE waxay ka faa'iideysataa labadaba Apache 2.4.49 (CVE-2021-41773) iyo 2.4.50 (CVE-2021-42013):
xididka @ CT406: ~ # curl 'http://192.168.0.191/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.% % 32% 65 / bin / sh '–data' echo Content-Type: text / plain; tuuray; tag '
uid = 1 (daemon) gid = 1 (daemon) kooxo = 1 (daemon)- ☠ Román Medina-Heigl Hernández (@roman_soft) October 7, 2021
Isla mar ahaantaana, weerarka helitaanka helitaanka nuxurka faylka koodhadhka nidaamka aan loo meel dayin iyo qoraallada isha qoraallada webka in ayaa diyaar u ah akhriska isticmaalaha kaas oo uu ku shaqeeyo server -ka http wali waa mid khuseeya. Si aad u fuliso weerarka noocaas ah, si fudud u hag tusaha goobta lagu habeeyay adeegsiga tilmaamaha "Alias" ama "ScriptAlias" (DocumentRoot kuma filna), sida "cgi-bin".
Intaa waxaa u dheer, wuxuu xusayaa in dhibaatadu inta badan saameyso qaybinta si joogto ah loo cusbooneysiiyay (Sii -daynta Rolling) sida Fedora, Arch Linux iyo Gentoo, iyo sidoo kale dekadaha FreeBSD.
In kasta oo qaybinta Linux ee ku saleysan laamaha xasilloon ee qaybinta server -ka sida Debian, RHEL, Ubuntu iyo SUSE aysan ahayn kuwo nugul. Dhibaatadu ma muuqato haddii gelitaanka tusayaasha si cad loo diido iyadoo la adeegsanayo »waxay u baahan tahay in la diido dhammaan.
Waxaa kale oo xusid mudan taas Oktoobar 6-7, Cloudflare waxay diiwaangelisay in ka badan 300 oo isku day ah inay ka faa'iidaystaan nuglaanta CVE-2021-41773 maalintii. Waqtiga intiisa badan, oo ka dhasha weerarada iswada, waxay codsadaan waxa ku jira "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml "," /Cgi-bin/.% 2e/app/etc/env.php "iyo" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".
Dhibaatadu waxay kaliya ka muuqataa noocyada 2.4.49 iyo 2.4.50, noocyadii hore ee nuglaanshuhu ma saamayn. Si loo hagaajiyo kala duwanaanshaha cusub ee nuglaanta, sii deynta Apache httpd 2.4.51 ayaa si dhakhso leh loo sameeyay.
Finalmente Haddii aad xiisaynayso inaad waxbadan ka ogaato, waad hubin kartaa faahfaahinta Xiriirka soo socda.