Nyligen bröt nyheten ut det hittade en ny attackvektor mot Apache http -servern, som förblev opatchad i 2.4.50 -uppdateringen och tillåter filåtkomst från områden utanför webbplatsens rotkatalog.
Dessutom forskarna har hittat ett sätt som, i närvaro av vissa konfigurationer icke-standard, inte bara läsa systemfilerna utan också köra fjärrkoden på servern.
CVE-2021-41773 på Apache HTTP-server 2.4.50 var otillräcklig. En angripare kan använda en sökvägsattack för att mappa URL: er till filer utanför kataloger som konfigurerats av direktiv som liknar Alias. Om filer utanför dessa kataloger inte skyddas av de vanliga standardinställningarna "kräver alla nekade" kan dessa begäranden lyckas. Om CGI -skript också är aktiverade för dessa aliasade patchar kan detta möjliggöra fjärrkörning av kod. Det här problemet påverkar bara Apache 2.4.49 och Apache 2.4.50 och inte tidigare versioner.
I huvudsak, det nya problemet (redan listat som CVE-2021-42013) det liknar helt den ursprungliga sårbarheten (CVE-2021-41773) vid 2.4.49, den enda skillnaden är i en annan teckenkodning.
Och det är i synnerhet, i version 2.4.50 blockerades möjligheten att använda sekvensen "% 2e" för att koda en punkt, men jae tappade möjligheten till dubbelkodning: genom att specificera sekvensen "%% 32% 65", avkodas servern i "% 2e" och sedan i ".", dvs Tecknen "../" för att gå till föregående katalog kan kodas som ". %% 32% 65 / ».
Båda CVE: erna är i själva verket nästan samma sårbarhet för sökvägen (den andra är den ofullständiga korrigeringen för den första). Path traversal fungerar bara från en mappad URI (till exempel via Apache "Alias" eller "ScriptAlias" -direktiv). DocumentRoot ensam är inte tillräckligt
Angående utnyttjandet av en sårbarhet genom kodkörning, detta är möjligt om mod_cgi är aktiverat och en basväg används där CGI -skript får köras (till exempel om ScriptAlias -direktivet är aktiverat eller ExecCGI -flaggan anges i alternativdirektivet).
Det nämns att en förutsättning för en lyckad attack också är att uttryckligen i Apache -konfigurationen ge åtkomst till kataloger med körbara filer, såsom / bin, eller åtkomst till FS -roten " /". Eftersom sådan åtkomst normalt inte tillhandahålls, är en kodkörningsattack till liten nytta för riktiga system.
RCE utnyttjar både för Apache 2.4.49 (CVE-2021-41773) och 2.4.50 (CVE-2021-42013):
root @ CT406: ~ # curl 'http://192.168.0.191/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.% % 32% 65 / bin / sh '–data' eko Innehållstyp: text / vanlig; kastade ut; gå '
uid = 1 (daemon) gid = 1 (daemon) grupper = 1 (daemon)- ☠ Román Medina-Heigl Hernández (@roman_soft) Oktober 7, 2021
Samtidigt, attacken mot att få filinnehåll godtyckliga systemkoder och källtexter för webbskript som är tillgängliga för användarläsning under vilken http -servern körs är fortfarande relevant. För att utföra en sådan attack måste du helt enkelt ha en katalog på webbplatsen konfigurerad med hjälp av "Alias" eller "ScriptAlias" -direktiven (DocumentRoot är inte tillräckligt), till exempel "cgi-bin".
Utöver detta nämner han att problemet främst påverkar kontinuerligt uppdaterade distributioner (Rolling Releases) som Fedora, Arch Linux och Gentoo, samt FreeBSD -portar.
Medan Linux -distributioner som är baserade på stabila grenar av serverdistributioner som Debian, RHEL, Ubuntu och SUSE inte är sårbara. Problemet visas inte om åtkomst till kataloger uttryckligen nekas med inställningen »kräver alla nekade«.
Det är också värt att nämna det Den 6-7 oktober registrerade Cloudflare mer än 300 XNUMX försök att utnyttja sårbarheten CVE-2021-41773 per dag. För det mesta, som ett resultat av automatiska attacker, begär de innehållet i "/cgi-bin/.%2e/.git/config", "/cgi-bin/.%2e/app/etc/local.xml "," /Cgi-bin/.% 2e/app/etc/env.php "och" /cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd ".
Problemet manifesterar sig bara i versionerna 2.4.49 och 2.4.50, tidigare versioner av sårbarheten påverkas inte. För att åtgärda den nya varianten av sårbarheten bildades snabbt Apache httpd 2.4.51 -versionen.
Slutligen Om du är intresserad av att veta mer om det, du kan kontrollera detaljerna I följande länk.