Vydaná nová oprava pre aktívne využívané 0– Denný prechod cesty Apache k útokom RCE

Nadácia Apache Software Foundation vo štvrtok vydala ďalšie bezpečnostné aktualizácie pre svoj produkt HTTP Server, aby napravila to, čo hovorí, že je „neúplná oprava“ pre aktívne využívanú chybu prechodu cesty a vzdialeného spúšťania kódu, ktorú opravila začiatkom tohto týždňa.

CVE-2021-42013, ako je nová zraniteľnosť identifikovaná, vychádza z CVE-2021-41773, chyby, ktorá ovplyvňuje webovú verziu servera Apache. 2.4.49 a zahŕňa chybu normalizácie cesty, ktorá by mohla umožniť protivníkovi prístup a zobrazenie ľubovoľných súborov uložených na zraniteľnom serveri.

Aj keď chybu riešili správcovia vo verzii 2.4.50, deň po vydaní záplat sa zistilo, že slabosť by sa dala zneužiť aj na vzdialené spustenie kódu, ak bol načítaný modul „mod_cgi“ a chýbala konfigurácia „vyžadovať všetko odmietnuté“, čo prinútilo Apache vydať ďalšie kolo. núdzových aktualizácií.

“Zistilo sa, že oprava CVE-2021-41773 na serveri Apache HTTP Server 2.40,50 bolo nedostatočné. Útočník by mohol použiť útok typu path traversal na mapovanie adries URL na súbory mimo adresárov nakonfigurovaných direktívami podobnými aliasu,“ uviedla spoločnosť v upozornení. “, tieto žiadosti môžu uspieť. Ak sú pre tieto aliasové cesty povolené aj skripty CGI, môže to umožniť vzdialené spustenie kódu.”

Apache Software Foundation pripísala zásluhy Juanovi Escobarovi z Dreamlab Technologies, Fernandovi Muñozovi z NULL Life CTF Team a Shungo Kumasaka za nahlásenie zraniteľnosti. Vo svetle aktívneho využívania sa používateľom dôrazne odporúča aktualizovať na najnovšiu verziu (2.4.51) na zmiernenie rizika spojeného s chybou.

Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) uviedla, že „vidí prebiehajúce skenovanie zraniteľných systémov, od ktorého sa očakáva zrýchlenie, čo pravdepodobne povedie k zneužitiu“, a vyzvala „organizácie, aby okamžite vykonali opravu, ak tak ešte neurobili“.