最近有消息說 發現了針對 Apache http 服務器的新攻擊媒介,它在 2.4.50 更新中仍未打補丁,並允許從站點根目錄之外的區域訪問文件。
此外,研究人員 找到了一種方法,在某些配置存在的情況下 非標準, 不僅可以讀取系統文件,還可以運行 遠程您在服務器上的代碼。
Apache HTTP Server 2021 上的 CVE-41773-2.4.50 不足。 攻擊者可以使用路徑遍歷攻擊將 URL 映射到由類似於別名的指令配置的目錄之外的文件。 如果這些目錄之外的文件不受通常的默認“要求所有拒絕”設置的保護,則這些請求可能會成功。 如果還為這些別名補丁啟用了 CGI 腳本,則可能允許遠程代碼執行。 此問題僅影響 Apache 2.4.49 和 Apache 2.4.50,而不影響更早版本。
在本質上,新問題(已經列為CVE-2021-42013) 它與原始漏洞完全相似 (CVE-2021-41773) 在 2.4.49, 唯一的區別在於不同的字符編碼。
尤其是, 在 2.4.50 版本中,使用序列 "% 2e" 的可能性被阻止 編碼一個點,但是是的e 失去了雙重編碼的可能性: 當指定序列“%% 32% 65”時,服務器在“%2e”中解碼,然後在“.”中,即去上一個目錄的字符“../”可以編碼為“../”。 %% 32% 65 / »。
這兩個 CVE 實際上幾乎是相同的路徑遍歷漏洞(第二個是第一個的不完整修復)。 路徑遍歷僅適用於映射的 URI(例如,通過 Apache“Alias”或“ScriptAlias”指令)。 僅 DocumentRoot 是不夠的
關於漏洞的利用 通過代碼執行, 如果啟用了 mod_cgi,這是可能的 並且使用允許運行 CGI 腳本的基本路徑(例如,如果啟用了 ScriptAlias 指令或在 Options 指令中指定了 ExecCGI 標誌)。
提到成功攻擊的先決條件也是在Apache配置中明確提供對具有可執行文件的目錄的訪問權限,例如/bin,或對FS根“/”的訪問權限。 由於通常不提供此類訪問,因此代碼執行攻擊對實際系統幾乎沒有用。
Apache 2.4.49 (CVE-2021-41773) 和 2.4.50 (CVE-2021-42013) 的 RCE 漏洞利用:
root@CT406:~#curl 'http://192.168.0.191/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.% % 32% 65 / bin / sh '--data' echo Content-Type: text / plain; 扔出去; 走 '
uid = 1(守護進程) gid = 1(守護進程)組 = 1(守護進程)- ☠ Román Medina-Heigl Hernández (@roman_soft) 2021 年 10 月 7 日
同時 獲取文件內容的攻擊 任意系統代碼和 Web 腳本的源文本 可供用戶閱讀 http服務器在哪個下運行仍然相關。 要執行此類攻擊,只需在站點上使用“別名”或“腳本別名”指令(DocumentRoot 不夠)配置一個目錄,例如“cgi-bin”。
除此之外,他提到該問題主要影響不斷更新的發行版(滾動發行版),例如 Fedora、Arch Linux 和 Gentoo,以及 FreeBSD 端口。
而基於 Debian、RHEL、Ubuntu 和 SUSE 等服務器發行版穩定分支的 Linux 發行版不易受到攻擊。 如果»require all denied« 設置明確拒絕對目錄的訪問,則不會出現此問題。
還值得一提的是 6 月 7 日至 300 日,Cloudflare 記錄了超過 XNUMX 次利用該漏洞的嘗試 每天 CVE-2021-41773。 大多數時候,由於自動攻擊,他們請求“/cgi-bin/.%2e/.git/config”、“/cgi-bin/.%2e/app/etc/local.xml”的內容"、"/Cgi-bin/.%2e/app/etc/env.php" 和 "/cgi-bin/.%2e/%2e%2e/%2e%2e/etc/passwd"。
該問題僅在 2.4.49 和 2.4.50 版本中出現,之前版本的漏洞不受影響。 為了修復該漏洞的新變種,Apache httpd 2.4.51 版本很快就形成了。
終於 如果您有興趣了解更多信息, 您可以查看詳細信息 在下面的鏈接中。