الفئة

ذكاء نقاط الضعف

فئة نقاط الضعف

اجتياز المسار، الكشف عن الملفات

غطاء الكهف

CVE-2021-41773

السيرة الذاتية: 3.0 درجة

غير متوفر

TLP#

أخضر

مرجع

* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability

# https://en.wikipedia.org/wiki/Traffic_Light_Protocol

ملخص تنفيذي

• كلاود سيكاكتشف فريق Threat Intelligence منشورًا، في منتدى الجرائم الإلكترونية، يصف ثغرة اجتياز المسار والكشف عن الملفات التي تم تحديدها حديثًا، CVE-2021-41773، في خادم Apache HTTP.
• ال مشروع خادم أباتشي HTTP هو خادم HTTP مفتوح المصدر لأنظمة التشغيل بما في ذلك UNIX و Windows.
• يتم استغلال هذه الثغرة الأمنية بشكل نشط في البرية وقد أثرت فقط على الإصدار 2.4.49 من الخادم.
• أصدرت Apache مؤخرًا تقريرًا استشاريًا[-1-] نفس الشيء تقريبًا، جنبًا إلى جنب مع التصحيح في الإصدار 2.4.50 من الخادم.
• يمكن للجهات الفاعلة في مجال التهديد استغلال هذه الثغرة الأمنية لتسمم سجلات الخادم لتنفيذ التعليمات البرمجية عن بُعد و/أو استخراج البيانات الحساسة.
• تستهدف مجموعة جديدة من المتسللين الصينيين المسؤولين رفيعي المستوى في جنوب شرق آسيا من خلال استغلال نقاط الضعف في Apache و Oracle و MS Exchange وما إلى ذلك.

التحليل

• يعد Apache HTTP Server أحد أكثر برامج الخادم استخدامًا حول العالم. الثغرة الأمنية التي يتم تتبعها كـ CVE-2021-41773 هي ثغرة أمنية في اجتياز المسار والكشف عن الملفات في خادم Apache HTTP والتي يتم استغلالها في البرية باعتبارها يوم الصفر.
• استلزم هذا الاستغلال النشط إصدار تصحيح سريع بواسطة Apache، في 05 أكتوبر 2021.
• وفقًا للاستشارة الصادرة عن Apache، «يمكن للمهاجم استخدام هجوم اجتياز المسار لتعيين عناوين URL إلى ملفات خارج جذر المستند المتوقع».
• تنشأ هذه المشكلة من خلل في كيفية تحويل خادم Apache بين مخططات مسارات عناوين URL المتعددة، والتي تُعرف غالبًا باسم تطبيع المسار. تطبيع المسار هو العملية التي يقوم فيها المبرمج بتعديل السلسلة التي تحدد المسار أو الملف، بحيث تتوافق مع مسار صالح على نظام التشغيل الهدف.

• إن الاستغلال الناجح لهذه الثغرة الأمنية من شأنه أن يمنح المهاجم عن بُعد الوصول إلى ملفات عشوائية خارج جذر المستند على خادم الويب الضعيف.
• وفقًا للاستشارة، يمكن أن يؤدي هذا الخلل أيضًا إلى تسرب «مصدر الملفات المفسرة مثل نصوص CGI» والتي قد تحتوي على معلومات حساسة يمكن للمهاجمين استغلالها لمزيد من الهجمات.

معلومات من المصدر المفتوح

وفقًا لبحث أجرته شركة Shodan، في وقت إنشاء هذا التقرير، كان هناك 112,756 إصدارًا ضعيفًا من خادم Apache HTTP نشطًا على الإنترنت.

التأثير والتخفيف

• يمكن للمهاجمين استخدام هجوم اجتياز المسار لتعيين عناوين URL لملفات خارج جذر المستند المتوقع والوصول إلى الملفات الحساسة وكلمات المرور وما إلى ذلك.
• قد يؤدي هذا الخلل إلى تسرب مصدر الملفات المفسرة مثل نصوص CGI.
• قد تؤدي هذه الثغرة الأمنية إلى هجوم RCE (تنفيذ التعليمات البرمجية عن بُعد) عن طريق تسميم سجلات الخادم.
• يمكن أن تؤدي RCE إلى هجمات مدمرة بما في ذلك على سبيل المثال لا الحصر حملات Ransomware.

• قم بتحديث خادم Apache HTTP على الفور إلى الإصدار المصحح 2.4.50.

المراجع

[-1-] - استشارة صادرة عن Apache بشأن الثغرات الأمنية في الإصدار 2.4 من خادم Apache HTTP