最近有消息说 发现了针对 Apache http 服务器的新攻击媒介,它在 2.4.50 更新中仍未打补丁,并允许从站点根目录之外的区域访问文件。
此外,研究人员 已经找到了一种方法,在某些配置存在的情况下 非标准, 不仅可以读取系统文件,还可以运行 远程您在服务器上的代码。
Apache HTTP Server 2021 上的 CVE-41773-2.4.50 不足。 攻击者可以使用路径遍历攻击将 URL 映射到由类似于别名的指令配置的目录之外的文件。 如果这些目录之外的文件不受通常的默认“要求所有拒绝”设置的保护,则这些请求可能会成功。 如果还为这些别名补丁启用了 CGI 脚本,则可能允许远程代码执行。 此问题仅影响 Apache 2.4.49 和 Apache 2.4.50,而不影响更早版本。
在本质上,新问题(已经列为CVE-2021-42013) 它与原始漏洞完全相似 (CVE-2021-41773) 在 2.4.49, 唯一的区别在于不同的字符编码。
尤其是, 在 2.4.50 版本中,使用序列“% 2e”的可能性被阻止 编码一个点,但是是的e 失去了双重编码的可能性: 当指定序列“%% 32% 65”时,服务器在“%2e”中解码,然后在“.”中,即去上一个目录的字符“../”可以编码为“../”。 %% 32% 65 / »。
这两个 CVE 实际上几乎是相同的路径遍历漏洞(第二个是第一个的不完整修复)。 路径遍历仅适用于映射的 URI(例如,通过 Apache“Alias”或“ScriptAlias”指令)。 仅 DocumentRoot 是不够的
关于漏洞的利用 通过代码执行, 如果启用了 mod_cgi,这是可能的 并且使用允许运行 CGI 脚本的基本路径(例如,如果启用了 ScriptAlias 指令或在 Options 指令中指定了 ExecCGI 标志)。
提到成功攻击的先决条件也是在Apache配置中明确提供对具有可执行文件的目录的访问权限,例如/bin,或对FS根“/”的访问权限。 由于通常不提供此类访问,因此代码执行攻击对实际系统几乎没有用。
Apache 2.4.49 (CVE-2021-41773) 和 2.4.50 (CVE-2021-42013) 的 RCE 漏洞利用:
root@CT406:~#curl 'http://192.168.0.191/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.% % 32% 65 / bin / sh '--data' echo Content-Type: text / plain; 扔出去; 走 '
uid = 1(守护进程) gid = 1(守护进程)组 = 1(守护进程)- ☠ Román Medina-Heigl Hernández (@roman_soft) 2021 年 10 月 7 日
与此同时, 获取文件内容的攻击 任意系统代码和 Web 脚本的源文本 可供用户阅读 http服务器在哪个下运行仍然相关。 要进行此类攻击,只需在站点上使用“别名”或“脚本别名”指令(DocumentRoot 不够)配置一个目录,例如“cgi-bin”。
除此之外,他提到该问题主要影响不断更新的发行版(滚动发行版),例如 Fedora、Arch Linux 和 Gentoo,以及 FreeBSD 端口。
而基于 Debian、RHEL、Ubuntu 和 SUSE 等服务器发行版稳定分支的 Linux 发行版不易受到攻击。 如果使用 »require all denied« 设置明确拒绝对目录的访问,则不会出现此问题。
还值得一提的是 6 月 7 日至 300 日,Cloudflare 记录了超过 XNUMX 次利用该漏洞的尝试 每天 CVE-2021-41773。 大多数时候,由于自动攻击,他们请求“/cgi-bin/.%2e/.git/config”、“/cgi-bin/.%2e/app/etc/local.xml”的内容"、"/Cgi-bin/.%2e/app/etc/env.php" 和 "/cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd"。
该问题仅在 2.4.49 和 2.4.50 版本中出现,之前版本的漏洞不受影响。 为了修复该漏洞的新变种,Apache httpd 2.4.51 版本很快就形成了。
最后 如果您有兴趣了解更多信息, 您可以查看详细信息 在下面的链接中。