Sumário executivo

• CloudSEKa principal plataforma digital de monitoramento de risco da XV Vigília descobriu uma postagem em um fórum de crimes cibernéticos, mencionando uma vulnerabilidade no servidor HTTP Apache 2.4.17 a 2.4.38, conhecida como CVE-2019-0211.
• O CVE-2019-0211 é um bug de escalonamento de privilégios locais, portanto, para explorar, o invasor deve ter acesso inicial ao servidor.
• Os agentes de ameaças podem explorar essa vulnerabilidade para realizar vários ataques, incluindo, mas não se limitando a, escalada de privilégios, movimento lateral e muito mais.

Resumo técnico

O xVigil da CloudSEK executa verificações rotineiras de configuração incorreta de aplicativos como parte do monitoramento da infraestrutura. Durante essas verificações, descobrimos que há vários ativos que ainda estão vulneráveis a uma vulnerabilidade mais antiga chamada CARPE (DIEM): CVE-2019-0211.

Essa vulnerabilidade foi uma vulnerabilidade crítica que surgiu em 2019 e permite que um invasor execute scripts sem privilégios, geralmente executados pelo Apache com privilégios reduzidos para assumir o controle do processo principal do Apache. Isso também pode fazer com que um invasor obtenha acesso root ao servidor simplesmente executando um script.

O CVE-2019-0211 representa uma ameaça aos serviços de hospedagem na web que usam as versões vulneráveis em ambientes compartilhados, onde o privilégio root pode permitir que os invasores acessem arquivos compartilhados por outros usuários no ambiente host. Mesmo que um servidor Apache vulnerável não esteja sendo executado em um ambiente compartilhado, essa vulnerabilidade pode ser associada a outros métodos de ataque para executar código em um nível de privilégio mais alto.

Essa vulnerabilidade afeta apenas os servidores HTTP Apache executados em sistemas operacionais Unix.

O CVE-2019-0211 é sustentado em Módulos de Multiprocessamento Apache (MPMs), como mod_prefork, mod_worker e mod_event.

De acordo com o PoC publicado pelo pesquisador que descobriu essa vulnerabilidade, o Apache usa uma área de memória compartilhada para acompanhar os processos de trabalho gerenciados por mod_prefork. Para explorar a vulnerabilidade, é necessário que o invasor obtenha acesso de leitura/gravação a um processo de trabalho e, por sua vez, manipule a área de memória compartilhada para apontar para um trabalhador desonesto antes de uma reinicialização normal do Apache (apache2ctl gracioso) é iniciado por logrotar.

Informações sobre o OSINT

O Apache é o servidor web mais popular e, portanto, alimenta mais de 40% da Internet.

Este gráfico mostra que mais de 1,6 milhão de servidores ainda estão executando versões vulneráveis do Apache.

O engenheiro de segurança que descobriu o bug do Carpe Diem Apache HTTP Server tem lançou uma façanha para isso. A vulnerabilidade foi considerada crítica e permite que os atacantes realizem ações que a maioria dos provedores de hospedagem trabalhou para evitar.

Impacto e mitigação

Referências

[1] Vulnerabilidades do Apache HTTP Server 2.4

[2] CARPE (DIEM): CVE-2019-0211 Escalonamento de privilégios do Apache Root

[3] Lançado o exploit PoC para o bug Carpe Diem Apache - Help Net Security

[4] Explicação da escalação de privilégios do servidor HTTP Apache (CVE-2019-0211) | Rapid7 Blog

[5] Apache 2.4.17 < 2.4.38 - 'apache2ctl graceful' 'logrotate' Escalação de privilégios locais - Exploração local do Linux