< p class="meta"> Door Jonathan Greig | 8 oktober 2021 | Onderwerp: Beveiliging
Apache heeft donderdag aanvullende fixes voor CVE-2021-41773 vrijgegeven, aangezien overheidsinstanties zoals CISA waarschuwden dat een kwetsbaarheid met betrekking tot het Apache HTTP Server-probleem in het wild was uitgebuit.
Zoals ZDNet woensdag meldde, drongen de ontwikkelaars achter het Apache HTTP Server Project er bij gebruikers op aan om onmiddellijk een fix toe te passen om een zero-day-kwetsbaarheid op te lossen.
De Apache Software Foundation heeft Apache HTTP Server versie 2.4.50 uitgebracht om twee kwetsbaarheden aan te pakken waarmee een aanvaller de controle over een getroffen systeem kan krijgen. In een bericht op woensdag zei CISA dat een van de kwetsbaarheden, CVE-2021-41773, al in het wild is misbruikt.
“Er is vastgesteld dat de fix voor CVE-2021-41773 in Apache HTTP Server 2.4.50 onvoldoende was. Een aanvaller kan een padtraversale aanval gebruiken om URL's toe te wijzen aan bestanden buiten de mappen die zijn geconfigureerd door Alias-achtige richtlijnen. Als bestanden buiten de deze mappen worden niet beschermd door de gebruikelijke standaardconfiguratie “alles geweigerd vereisen”, deze verzoeken kunnen slagen. Als CGI-scripts ook zijn ingeschakeld voor deze alias-paden, kan dit leiden tot uitvoering van externe code, “zei Apache in een bericht.
“Dit probleem treft alleen Apache 2.4.49 en Apache 2.4.50 en niet eerdere versies.”
CISA zei dat “actief scannen van Apache HTTP Server CVE-2021-41773 & CVE-2021-42013 aan de gang is en naar verwachting zal versnellen, wat waarschijnlijk zal leiden tot uitbuiting.”
“Deze kwetsbaarheden zijn in het wild uitgebuit. Patch onmiddellijk als je dat nog niet hebt gedaan — dit kan niet wachten tot na het weekend”, voegde de overheidsinstantie eraan toe.
Volgens Bleeping Computer wordt ongeveer 25% van de websites wereldwijd ondersteund door de open-source, platformonafhankelijke Apache HTTP-server.
Sonatype-onderzoekers zeiden dat ongeveer 112.000 Apache-servers de kwetsbare versie gebruiken, waarvan ongeveer 40% zich in de Verenigde Staten bevindt. Rapid7 Labs zei dat het woensdag ongeveer 65.000 potentieel kwetsbare versies van Apache httpd heeft geïdentificeerd die zijn blootgesteld aan het openbare internet.
Onderzoekers zeggen dat er in het wild actief wordt gescand op het probleem.
Censys
“De kwetsbaarheid zelf kan niet worden misbruikt in normale of standaardomstandigheden. De grootste impact van dit probleem zal zijn op applicaties die Apache 2.4.49 hebben verpakt en een configuratie die de kwetsbaarheid mogelijk maakt. Een dergelijke applicatie is Control Webpanel (ook bekend als CentOS Webpanel), dat door hostingproviders wordt gebruikt om websites te beheren, vergelijkbaar met cPanel”, zegt Derek Abdine, CTO bij Censys.
“Er zijn momenteel iets meer dan 21.000 hiervan die internetgericht zijn en kwetsbaar lijken.”
Censys senior beveiligingsonderzoeker Mark Ellzey voegde eraan toe dat hij verwacht dat dit enige gevolgen zal hebben, maar dat dit misschien niet wijdverbreid is. Vergeleken met recente kwetsbaarheden met betrekking tot Confluence of VMware, zei hij dat de urgentie en effectiviteit van exploits voor dit probleem niet naar een vergelijkbaar niveau stijgen.
“Alles buiten de slechte configuratie zal waarschijnlijk een gerichte aanval op specifieke applicaties zijn. Ik durf te wedden dat we code-lekken kunnen zien,” zei Ellzey.
De kwetsbaarheden werden voor het eerst ontdekt door Ash Daulton van het cPanel-beveiligingsteam en de nieuwste problemen werden gevonden door Shungo Kumasaka, Juan Escobar van Dreamlab Technologies en Fernando Muñoz van NULL Life CTF. Exploits werden snel gemaakt en vrijgegeven zodra de kwetsbaarheid werd gepubliceerd.
Beveiliging
Fortinet, Shopify melden problemen nadat root-CA-certificaat van Lets Encrypt verloopt Ransomware-bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze systemen worden elke maand geconfronteerd met miljarden aanvallen als hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Enterprise Software Security TV Gegevensbeheer CXO-datacenters 