Τεχνική ανάλυση της ευπάθειας ασφαλείας στο Web Server Apache αποδεικνύει πόσο εύκολα εκτέθηκαν δεδομένα παγκοσμίως με πολλούς επηρεασμένους servers να εντοπίζονται στην Ελλάδα.
Ο ερευνητής Ασφάλειας Δημήτρης Ρούσσης μας αναλύει πως μια ευπάθεια πάνω στον γνωστό Web Server Apache που έχει αναγνωριστεί ως CVE-2021-41773 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41773 ) εκθέτει σήμερα δεδομένα σε χιλιάδες servers παγκοσμίως. Η εκμετάλλευση της ευπάθειας επιτρέπει την ανάγνωση μέσω επίθεσης τύπου Directory Traversal Attack όλων των αρχείων του server που είναι εγκατεστημένος o Web Server.
Δείτε Ακόμα: Apache Zero-day ευπάθεια επιτρέπει την απομακρυσμένη εκτέλεση κώδικα
Στην ανάλυση που μας κάνει ο ερευνητής αρχικά αναζητούνται ως δείγμα 300 servers μέσω της μηχανής αναζήτησης shodan που έχουν εγκατεστημένο τον Apache Web Server στην έκδοση 2.4.49 .
Στην συνέχεια μέσω ενός αυτοματοποιημένου script ελέγχονται σε ποιους από τους servers υφίσταται πραγματικά η ευπάθεια.
Το τελικό αποτέλεσμα του script είναι η δημιουργία ενός αρχείου (vulnerable_servers.txt) που περιλαμβάνει τους ευάλωτους servers.
Δείτε Ακόμα: Υπάλληλος της Bank of America κατηγορείται για ξέπλυμα χρήματος
Στην συνέχεια, με εκτέλεση της παρακάτω απλής εντολής curl αλλάζοντας την IP και την διαδρομή στο τέλος μπορούμε πλέον να προσπελάσουμε οποιοδήποτε αρχείο επιθυμούμε στον Server.
Ενδεικτικά:
Αξίζει να σημειώσουμε ότι μεταξύ των επηρεαζόμενων servers βρίσκονται πολλοί από την Ελλάδα, όπως αποδεικνύεται και από την μηχανή αναζήτησης του Shodan.
Η παραπάνω μελέτη αποδεικνύει αφενός μεν πως μια ευπάθεια μπορεί να οδηγήσει στην αποκάλυψη δεδομένων σε ευρεία κλίμακα παγκοσμίως και αφετέρου την αναγκαιότητα άμεσης εφαρμογής των ενημερώσεων λογισμικού από τους Διαχειριστές των συστημάτων.
Δείτε Ακόμα: Ρower connector επόμενης γενιάς για GPU θα χειρίζεται έως και 600W
Apache Zero-day ευπάθεια
Proof-of-Concept (PoC) exploits για την ευπάθεια zero-day στον web server Apache εμφανίστηκαν πρόσφατα στο διαδίκτυο αποκαλύπτοντας ότι η ευπάθεια είναι πολύ πιο κρίσιμη από την αρχική αποκάλυψη.
Αυτά τα exploits δείχνουν ότι το εύρος της ευπάθειας υπερβαίνει τη διέλευση διαδρομής, επιτρέποντας στους επιτιθέμενους δυνατότητες εκτέλεσης απομακρυσμένου κώδικα (RCE).
Ο Apache παραμένει ένας από τους πιο δημοφιλείς web server επιλογής με πάνω από 25% μερίδιο αγοράς.
Από το λεγόμενο «path traversal» στην απομακρυσμένη εκτέλεση κώδικα
Η ευπάθεια path traversal στον server HTTP του Apache, έχει χρησιμοποιηθεί ενεργά από τους χάκερ πριν το project Apache ειδοποιηθεί για το ελάττωμα τον Σεπτέμβριο ή αποκτήσει την ευκαιρία να το διορθώσει.
Δείτε Ακόμα: FontOnLake malware: Στοχεύει Linux συστήματα μέσω trojanized utilities
Αλλά η πρόσφατη αποκάλυψη του ελαττώματος webserver Apache path traversal, που εντοπίστηκε ως CVE-2021-41773, ακολουθήθηκε από PoC exploits που εμφανίστηκαν γρήγορα στο διαδίκτυο.
Όμως, ενώ τα PoC exploits αναπτύχθηκαν και συνεργάστηκαν, μια άλλη ανακάλυψη ήρθε στο φως.
Οι επιτιθέμενοι μπορούν να κάνουν κατάχρηση των server Apache που εκτελούν την έκδοση 2.4.49 όχι μόνο για την ανάγνωση αυθαίρετων αρχείων αλλά και για την εκτέλεση αυθαίρετου κώδικα στους servers.
Να σημειώσουμε οτι άμεσα, το Apache Software Foundation κυκλοφόρησε την ενημέρωση HTTP Web Server 2.4.51, αφού οι ερευνητές ανακάλυψαν ότι μια προηγούμενη ενημέρωση ασφαλείας δεν διόρθωσε σωστά μια ενεργώς εκμεταλλευόμενη ευπάθεια.
Μάθετε περισσότερα: Ενημέρωση Apache διορθώνει ατελή ενημερωμένη έκδοση κώδικα
* Ο Δημήτρης Ρούσσης είναι μέλος του Εργαστηρίου Ασφάλειας Πληροφοριακών Συστημάτων του Πανεπιστημίου Αιγαίου.
