Τα exploits Proof-of-Concept (PoC) για την ευπάθεια zero-day στον web server Apache εμφανίστηκαν στο διαδίκτυο αποκαλύπτοντας ότι η ευπάθεια είναι πολύ πιο κρίσιμη από την αρχική αποκάλυψη.
Δείτε επίσης: Ευπάθεια στη δημοφιλή εφαρμογή γονικού ελέγχου Canopy
Αυτά τα exploits δείχνουν ότι το εύρος της ευπάθειας υπερβαίνει τη διέλευση διαδρομής, επιτρέποντας στους επιτιθέμενους δυνατότητες εκτέλεσης απομακρυσμένου κώδικα (RCE).
Ο Apache παραμένει ένας από τους πιο δημοφιλείς web server επιλογής με πάνω από 25% μερίδιο αγοράς.
Από το λεγόμενο «path traversal» στην απομακρυσμένη εκτέλεση κώδικα
Η ευπάθεια path traversal στον server HTTP του Apache, που αναφέρθηκε για πρώτη φορά από το BleepingComputer, έχει χρησιμοποιηθεί ενεργά από τους χάκερ πριν το project Apache ειδοποιηθεί για το ελάττωμα τον Σεπτέμβριο ή αποκτήσει την ευκαιρία να το διορθώσει.
Αλλά η χθεσινή αποκάλυψη του ελαττώματος webserver Apache path traversal, που εντοπίστηκε ως CVE-2021-41773, ακολουθήθηκε από PoC exploits που εμφανίστηκαν γρήγορα στο διαδίκτυο.
Όμως, ενώ τα PoC exploits αναπτύχθηκαν και συνεργάστηκαν, μια άλλη ανακάλυψη ήρθε στο φως.
Οι επιτιθέμενοι μπορούν να κάνουν κατάχρηση των server Apache που εκτελούν την έκδοση 2.4.49 όχι μόνο για την ανάγνωση αυθαίρετων αρχείων αλλά και για την εκτέλεση αυθαίρετου κώδικα στους servers.
Δείτε επίσης: Η ευπάθεια στο VMware vCenter είναι ακόμα εκμεταλλεύσιμη
Ο ερευνητής ασφαλείας Hacker Fantastic σημείωσε ότι το ελάττωμα σύντομα μετατρέπεται σε ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) σε ένα σύστημα Linux, εάν ο server έχει διαμορφωθεί να υποστηρίζει CGI μέσω mod_cgi.
Εάν ένας εισβολέας είναι σε θέση να ανεβάσει ένα αρχείο μέσω ενός traversal exploit διαδρομής και να ορίσει δικαιώματα εκτέλεσης στο αρχείο, έχει πλέον δώσει στον εαυτό του τη δυνατότητα να εκτελεί εντολές με τα ίδια προνόμια με τη διαδικασία Apache.
Ο αναλυτής ευπάθειας του CERT Will Dormann και ο ερευνητής ασφαλείας Tim Brown έχουν επίσης αναφέρει επιτυχία με την εκτέλεση κώδικα σε μηχανές Windows.
Ενώ έπαιζε με το απλό PoC στον server των Windows, ο Dormann συνειδητοποίησε ότι η πρόσβαση σε ένα EXE μέσω του path traversal exploit ξεκίνησε με τη σειρά του το binary στον server του, σε αντίθεση με την απλή απόρριψη του περιεχομένου του EXE.
Δεν είναι όλα τα installations ευάλωτα
Παρόλο που τα Shodan queries που έτρεξε το BleepingComputer δείχνουν ότι πάνω από 112.000 servers Apache εκτελούν την ευάλωτη έκδοση 2.4.49, δεν μπορεί να κινδυνεύουν όλοι οι servers.
Η επιτυχία των path traversal exploits εξαρτάται από διάφορους παράγοντες, συμπεριλαμβανομένου του εάν είναι ενεργοποιημένη η λειτουργία “mod-cgi” στον server και η προεπιλεγμένη επιλογή “Require all denied” λείπει από τη διαμόρφωση.
Όμως, εάν ισχύουν όλα τα στοιχεία στα προαναφερθέντα κριτήρια, υπάρχει μεγάλη πιθανότητα η ευπάθεια να εξελιχθεί σε αυθαίρετη εκτέλεση κώδικα. Οι διαχειριστές διακομιστή θα πρέπει να διασφαλίσουν ότι τα server instances Apache HTTP που εκτελούν ενημερωμένες εκδόσεις 2.4.50 και νεότερες εκδόσεις.
Δείτε επίσης: Εκατομμύρια PCs HP OMEN επηρεάζονται από μια σοβαρή ευπάθεια
Ο αναλυτής απειλών intel Florian Roth παρείχε τους κανόνες του Sigma για να βοηθήσει στην ανίχνευση μιας ενεργής εκμετάλλευσης για τη μηδενική ημέρα.
Πηγή πληροφοριών: bleepingcomputer.com
 για την ευπάθεια zero-day στον web server Apache εμφανίστηκαν στο διαδίκτυο αποκαλύπτοντας ότι η ευπάθεια){kind=link}