Luka w zabezpieczeniach Apache zagrożeniem dla nieaktualizowanych serwerów
Mark J Cox, Wiceprezydent do spraw bezpieczeństwa w Apache Software Foundation, apeluje na twitterze do użytkowników Otwartego Serwera HTTP Apache o jak najszybszy update do wersji 2.4.39.
Apache HTTP Web Server to wciąż najpopularniejszy otwarty serwer HTTP. Apache odegrał kluczową rolę w początkowym rozwoju internetu, szybko wyprzedzając konkurencję jako dominujący serwer HTTP. W 2009 roku stał się pierwszym oprogramowaniem obsługującym ponad 100 milionów stron internetowych. Obecnie, ok 43% stron internetowych stoi na serwerze Apache.
Nietypowo, łatka wydana pierwszego kwietnia jest skierowana do bardzo szerokiej gamy wersji, od 2.4.17 do ostatniej 2.4.38. Trzy ze znalezionych problemów w wersji 2.4.17 stanowią krytyczne ryzyko dla bezpieczeństwa.
CVE-2019-0211 lub CARPE DIEM
Krytyczna luka do jak najszybszego załatania to CVE-2019-0211. Luka została odkryta i zgłoszona do Apache przez badacza Charlesa Fola, inżyniera bezpieczeństwa w Ambionics Security.
Apache jest podatne na lokalną eskalację uprawnień do roota, ze względu a błąd out-of-bounds array access, co umożliwia wywołanie złośliwej funkcji. - napisał Fol w swoim poradniku. Fol nazwał odkrytą przez siebie lukę. CVE-2019-0211 A pache R oot P rivilege E scalation - CARPE. W opisie luki Fol wskazał, że całość jest uruchamiana przez restart Apache (apache2ctl graceful), którego wymaga np. często używany w środowiskach linuksowych logrotate., która uruchamia się raz dziennie w celu ponownego zapisu plików dziennika - stąd DIEM .
Luka w serwerze Apache HTTP Server 2.4.17 - 2.4.38 pozwala każdemu zezwolić na napisanie skryptu (PHP, CGI, ...) w celu uzyskania roota - napisał na Twitterze Mark Cox. - Zaaktualizuj do 2.4.39 * teraz *, zwłaszcza jeśli masz niezaufanych autorów skryptów lub hosting współdzielony.
CVE-2019-0217
Simon Kappel, badacz bezpieczeństwa w Apache, z kolei znalazł lukę CVE-2019-0217, która również została uznana za ważną i naprawioną w wersji 2.4.39.
W wersji 2.4.38 i wcześniejszych, wyścig w mod_auth_digest, który pojawiał się przy pracy serwera w trybie wielowątkowym, pozwalał użytkownikowi z prawidłowymi danymi logowania na autentykację, używając innej nazwy użytkownika, tym samym omijając ustawienia kontroli dostępu, Kappel ostrzega w oficjalnym poradniku.
Wyścig (Race Condition) to w tym wypadku defektu oprogramowania, w którym współdzielone dane są dostępne przez wiele równoległych wątków bez odpowiedniej ochrony dostępu do danych.
CVE-2019-0215
Trzecią krytyczną luką załataną w aktualizacji Apache 2.4.39 jest CVE-2019-0215, która jest wadą obejścia kontroli dostępu SSL. Moduł mod_SSL w Apache jest odpowiedzialny za obsługę szyfrowania SSL / TLS (Secure Sockets Library / Transport Layer Security). Według Apache błąd CVE-2019-0215 mógł potencjalnie umożliwić osobie atakującej obejście ograniczeń kontroli dostępu.
Jak poważne jest zagrożenie?
Rapid7 również apeluje o jak najszybszy update i donosi, że ponad 2 miliony serwerów jest zagrożonych, a aż połowa z nich znajduje się w USA i Europie.
Chociaż nie jest to luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu (RCE), zapewnia ona atakującym możliwość wykonywania działań, których większość dostawców hostingu unika. Dostawcy powinny rozważyć zastosowanie poprawki Apache jak najszybciej. A jeśli hostują swoje witryny we współdzielonym hostingu, które są najbardziej zagrożone, powinno wpłynąć na swoich dostawców, aby zaktualizowali tak szybko, jak to możliwe, lub rozważyć przejście na innego dostawcę, lub platformę. - Piszę Bob Rudis, Chief Security Data Scientist w Rapid7.
Na razie nic nie wskazuje na to, by załatane obecnie problemy były dotychczas gdziekolwiek wykorzystane w złośliwy sposób. Dokumentacja o zagrożeniach została jednak opublikowana po udostępnieniu aktualizacji, dlatego z każdym dniem, nieaktualizowane serwery stają się coraz bardziej zagrożone.
Jeżeli korzystasz z Apache, nie zwlekaj! Update dostępny jest oczywiście na stronie Apache.