Apache исправила 0-day в HTTP Web Server

Организация Apache Software Foundation (ASF) выпустила исправление для уязвимости в проекте HTTP Web Server, которая уже активно эксплуатируется в хакерских атаках.

Проблема, получившая идентификатор CVE-2021-41773 , затрагивает только web-серверы Apache версии 2.4.49 и существует из-за ошибки в том, как сервер Apache выполняет преобразование между разными схемами пути URL (этот процесс называется нормализация URI).

“С помощью атаки обхода каталога злоумышленник может картировать URL к файлам за пределами ожидаемого document root. Если файлы за пределами document root не защищены с помощью ‘require all denied‘, эти запросы будут успешными. Вдобавок, эта уязвимость может привести к утечке источника интерпретированных файлов, таких как скрипты CGI”, - сообщила команда ASF в журнале изменений проекта Apache HTTP Server 2.4.50.

Атаки с эксплуатацией вышеупомянутой уязвимости обнаружил исследователь безопасности Эш Долтон (Ash Daulton) и специалисты cPanel Security Team. Все они сообщили о проблеме команде Apache.

Спустя несколько часов после выхода исправленной версии 2.4.50 несколько исследователей безопасности воспроизвели уязвимость и опубликовали в Twitter и GitHub целый ряд PoC-эксплоитов.

В настоящее время Apache HTTP Server занимает первое-второе место в списке самых популярных web-серверов в мире - более 120 тыс. серверов online открыты для атак.

По иронии судьбы, хорошие новости заключаются в том, что не все серверы обновляются регулярно, и администраторы могут легко избежать эксплуатации уязвимости, пропустив обновление 2.4.49 и обновившись сразу до 2.4.50.