Apache 0-day explotado activamente permite la ejecución remota de código

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las vulnerabilidades de prueba de concepto (PoC) para el servidor web Apache de día cero aparecieron en Internet y revelaron que la vulnerabilidad es mucho más crítica de lo que se reveló originalmente.

Estos exploits muestran que el alcance de la vulnerabilidad trasciende el recorrido de la ruta, lo que permite a los atacantes la capacidad de ejecución remota de código (RCE).

Apache sigue siendo uno de los servidores web más populares con más del 25% de participación de mercado.

Desde el recorrido de la ruta hasta la ejecución remota de código

La vulnerabilidad de recorrido de ruta en el servidor HTTP de Apache, reportada recientemente, ha sido explotada activamente en la naturaleza antes de que el proyecto Apache fuera notificado de la falla en septiembre, o tuviera la oportunidad de parchearlo.

Pero la divulgación de ayer de la falla transversal de la ruta del servidor web Apache, rastreada como CVE-2021-41773, fue seguida por exploits PoC que aparecieron rápidamente en Internet.

Pero, mientras se desarrollaban y modificaban los exploits de PoC, otro descubrimiento salió a la luz.

Los atacantes pueden abusar de los servidores Apache que ejecutan la versión 2.4.49 no solo para leer archivos arbitrarios sino también para ejecutar código arbitrario en los servidores.

El investigador de seguridad Hacker Fantastic señaló que la falla pronto se convierte en una vulnerabilidad de ejecución remota de código (RCE) en un sistema Linux si el servidor está configurado para admitir CGI a través de mod_cgi.

Si un atacante pudiera cargar un archivo a través de un exploit de ruta transversal y establecer permisos de ejecución en el archivo, ahora se ha otorgado la capacidad de ejecutar comandos con los mismos privilegios que el proceso de Apache.

Will Dormann, analista de vulnerabilidades de CERT, y el investigador de seguridad Tim Brown, también han informado del éxito con la ejecución de código en máquinas con Windows.

Mientras jugaba con el PoC simple en su servidor de Windows, Dormann se dio cuenta de que acceder a un EXE a través del exploit de recorrido de ruta, a su vez, lanzaba el binario en su servidor, en lugar de simplemente descargar el contenido del EXE.

"No estaba haciendo nada inteligente más que simplemente reproducir esencialmente el PoC público en Windows cuando vi que se generaba calc.exe", dice Dormann, quien además confirmó este comportamiento.

"¿CVE-2021-41773 tenía un alcance incorrecto cuando se publicó?" conjeturó Dormann, señalando la nota en el aviso original de Apache de que la explotación de la falla, como mucho, filtraría el código fuente de los scripts, en lugar de ejecutar los scripts.

No todas las instalaciones son vulnerables

Aunque las consultas de Shodan ejecutadas muestran que más de 112.000 servidores Apache están ejecutando la versión vulnerable 2.4.49, no todos los servidores pueden estar en riesgo.

El éxito de los exploits de recorrido de ruta depende de una variedad de factores, incluido si "mod-cgi" está habilitado en el servidor y la opción predeterminada "Requerir todos los denegados" no se encuentra en la configuración.

Pero, en caso de que se apliquen todos los elementos de los criterios mencionados anteriormente, existe un alto potencial de que la vulnerabilidad evolucione hacia la ejecución de código arbitrario:

"Nuevamente, Apache debe ser la versión vulnerable 2.4.49, y mod-cgi está habilitado, y debe faltar el predeterminado Requerir todo denegado. Pero si ambos son verdaderos, entonces CVE-2021-41773 es como RCE como sea posible ", explica Dormann.

Los administradores del servidor deben asegurarse de que sus instancias de servidor HTTP Apache estén ejecutando versiones parcheadas 2.4.50 y superiores.

El analista de inteligencia de amenazas Florian Roth ha proporcionado reglas Sigma para ayudar a detectar un exploit activo para el día cero.

Rule: Apache Path Traversal - CVE-2021-41773 #2124
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta