Día cero de Apache está siendo explotado activamente

06 Octubre 2021
Crítico

Con fecha 5 de octubre del 2021 se hizo pública una vulnerabilidad crítica para productos apache descubierta el 29 de septiembre del 2021 que ha levantado las alarmas en la comunidad tanto de investigadores como de ciberactores debido a la facilidad de su explotación y la gran cantidad de servidores vulnerables alrededor del mundo.

Apache

Corresponde a un servidor web HTTP de código abierto multiplataforma que se encuentra preinstalado en sistemas operativos Linux, desarrollado y mantenido por  Apache Software Foundation el cual es ampliamente utilizado con un aproximado de 26.300.000 servidores actualmente operativos a lo largo del mundo.

Por otro lado es parte importante del conjunto LAMP, acrónimo para describir una estructura de servidor compuesta por:

  • Linux - Sistema operativo
  • Apache - Servidor web
  • MySQL - Bases de datos
  • Php - Lenguaje de programación

CVE-2021-41773 Path Traversal en productos Apache

Esta vulnerabilidad de path traversal para productos Apache aplica únicamente para la versión 2.4.49 y ha sido identificada bajo el CVE-2021-41773, la cual permite a usuarios remotos no autenticados identificar o mapear URL’s, descubriendo directorios mediante consultas HTTP especialmente diseñadas en ruta permitiendo navegar hasta directorios locales críticos que debieran encontrarse originalmente restringidos como lo es:

 

Este último directorio en particular, presenta la característica de determinar quién puede acceder al sistema de manera legítima y que se puede hacer una vez dentro de él, manteniendo registro de  las cuentas de usuarios, las claves de accesos y privilegios, por lo que debe mantenerse estrictamente resguardado.

Prueba de concepto (PoC)

Durante el mismo día, rápidamente se pudo observar la aparición de Pruebas de Concepto (POC) que permiten verificar servidores vulnerables. Gracias a esto se logró identificar que en Chile de un total de 132 IP’s expuestas a internet específicamente con esta versión de apache (2.4.49) 104 se encontraron efectivamente vulnerables. 

Ejecución de prueba de concepto permite chequear masivamente cuales ips con esta versión de apache son vulnerables y cuáles no, entregando los siguientes resultados.

En la imagen a continuación se visualiza el detalle de la documentación contenida dentro del archivo “passwd” del servidor vulnerable.

Mitigación

Cabe destacar que la versión 2.4.49 fue recientemente publicada con fecha 15 de septiembre, perdurando operativa durante menos de un mes.

Para la mitigación de esta vulnerabilidad es recomendable actualizar apache a la versión 2.4.50 a la brevedad junto con proteger todo documento fuera del directorio “Root” con la condicionante "require all denied".

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Parche #Apache #Día Cero #Exploit #Vulnerabilidad #POC #CVE-2021-41773
  • Productos Afectados
  • Producto Versión
    Apache 2.4.49


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.