Ο πιο διαδεδομένος Web server , o Apache HTTP, φαίνεται πως έχει επιδιορθώσει μία σοβαρή ευπάθεια, που επιτρέπει σε hackers ή κακόβουλο λογισμικό, να αποκτήσουν απεριόριστο έλεγχο σε ένα μηχάνημα.
Το σφάλμα αυτό, που ονομάζεται CVE-2019-0211, είναι ένα local privilege escalation bug, που σημαίνει ότι επιτρέπει σε ένα άτομο ή λογισμικό που έχει ήδη περιορισμένη πρόσβαση σε έναν server, να αποκτήσει δικαιώματα root. Από εκεί, ο επιτιθέμενος θα μπορούσε να κάνει σχεδόν τα πάντα σε ένα σύστημα. Σύμφωνα με τον Charles Fol, έναν ερευνητή που ανακάλυψε το σφάλμα, η ευπάθεια καθιστά δυνατό, για τους μη εξουσιοδοτημένους εισβολείς, να αντικαταστήσουν ευαίσθητα μέρη της μνήμης ενός server. Ένα κακόβουλο script θα μπορούσε να εκμεταλλευτεί την ευπάθεια για να κερδίσει πρόσβαση root.
Η ευπάθεια δημιουργεί τον μεγαλύτερο κίνδυνο στις εγκαταστάσεις Web-hosting, που προσφέρουν κοινές εμφανίσεις, στις οποίες ένα μηχάνημα παρέχει περιεχόμενο για περισσότερους από έναν ιστότοπους. Συνήθως, αυτοί οι servers εμποδίζουν το διαχειριστή ενός ιστότοπου να έχει πρόσβαση σε άλλους ιστότοπους ή να έχει πρόσβαση σε ευαίσθητες ρυθμίσεις του ίδιου του μηχανήματος.
“Αν κάποιος από τους χρήστες εκμεταλλευτεί με επιτυχία την ευπάθεια, θα έχει πλήρη πρόσβαση στον server, όπως και το web hoster,” δήλωσε ο Fol. “Αυτό συνεπάγεται την ανάγνωση / εγγραφή / διαγραφή οποιουδήποτε αρχείου / βάσης δεδομένων των άλλων χρηστών.”
Το άλλο πιθανό σενάριο για εκμετάλλευση, είναι η περίπτωση που ένας εισβολέας που χρησιμοποιεί διαφορετική επίθεση κερδίζει περιορισμένα μόνο δικαιώματα σε έναν server που εκτελεί Apache. Εάν ο server είναι ευάλωτος στο CVE-2019-0211, ο επιτιθέμενος θα μπορούσε να εκμεταλλευτεί το ελάττωμα για να αυξήσει αυτά τα περιορισμένα δικαιώματα σε root.
Η ευπάθεια επηρεάζει μόνο τις εκδόσεις Apache 2.4.17 έως 2.4.38 όταν εκτελείται σε συστήματα τύπου UNIX. Σύμφωνα με την εταιρεία ασφαλείας Rapid7, περίπου 2 εκατομμύρια διαφορετικά συστήματα ήταν ευάλωτα στο CVE-2019-0211, αν και τα περισσότερα πιθανότατα ενημερώθηκαν από τότε που δημοσιεύθηκε το σφάλμα.
