Categoria

Inteligência de vulnerabilidade

Classe de vulnerabilidade

Percurso de caminhos, divulgação de arquivos

TAMPA DA CAVERNA

CVE-2021-41773

CVSS: 3.0 Pontuação

N/A

TOP #

VERDE

Referência

* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability

# https://en.wikipedia.org/wiki/Traffic_Light_Protocol

Sumário executivo

• CloudSEKA equipe de inteligência de ameaças da Threat Intelligence descobriu uma postagem, em um fórum de crimes cibernéticos, descrevendo a vulnerabilidade recém-identificada de travessia de caminhos e divulgação de arquivos, CVE-2021-41773, no Apache HTTP Server.
• O Projeto de servidor HTTP Apache é um servidor HTTP de código aberto para sistemas operacionais, incluindo UNIX e Windows.
• Essa vulnerabilidade está sendo explorada ativamente e afetou apenas a versão 2.4.49 do servidor.
• A Apache lançou recentemente um aviso[-1-] quase o mesmo, junto com um patch na versão 2.4.50 do servidor.
• Os agentes de ameaças podem explorar essa vulnerabilidade para envenenar os registros do servidor para realizar a execução remota de código e/ou exfiltrar dados confidenciais.
• Um novo grupo de hackers chineses tem como alvo funcionários de alto escalão no Sudeste Asiático, explorando vulnerabilidades no Apache, Oracle, MS Exchange, etc.

Análise

• O Apache HTTP Server é um dos softwares de servidor mais usados em todo o mundo. A vulnerabilidade rastreada como CVE-2021-41773 é uma vulnerabilidade de travessia de caminho e divulgação de arquivos no Apache HTTP Server que está sendo explorada na natureza, como um dia zero.
• Essa exploração ativa exigiu o lançamento de um patch acelerado pela Apache, em 05 de outubro de 2021.
• De acordo com o comunicado emitido pela Apache, “um invasor pode usar um ataque de travessia de caminho para mapear URLs para arquivos fora da raiz esperada do documento”.
• Esse problema surge de uma falha na forma como o servidor Apache converte entre vários esquemas de caminhos de URL, geralmente conhecida como normalização de caminhos. A normalização de um caminho é o processo em que o codificador modifica a string que identifica um caminho ou um arquivo, para que ele esteja em conformidade com um caminho válido no sistema operacional de destino.

• A exploração bem-sucedida dessa vulnerabilidade daria a um atacante remoto acesso a arquivos arbitrários fora da raiz do documento no servidor web vulnerável.
• De acordo com o comunicado, essa falha também pode vazar “a fonte de arquivos interpretados, como scripts CGI”, que podem conter informações confidenciais que os invasores podem explorar para novos ataques.

Informações de código aberto

De acordo com uma pesquisa do Shodan, na época em que esse relatório foi criado, havia 112.756 versões vulneráveis do Apache HTTP Server ativas na Internet.

Impacto e mitigação

• Os invasores podem usar um ataque de travessia de caminho para mapear URLs para arquivos fora da raiz esperada do documento e acessar arquivos confidenciais, senhas etc.
• Essa falha pode vazar a fonte dos arquivos interpretados, como scripts CGI.
• Essa vulnerabilidade pode até mesmo levar a um ataque RCE (execução remota de código) ao envenenar os registros do servidor.
• O RCE pode levar a ataques devastadores, incluindo, mas não se limitando a, campanhas de ransomware.

• Atualize imediatamente o Apache HTTP Server para a versão corrigida 2.4.50.

Referências

[-1-] - Aviso emitido pela Apache sobre as vulnerabilidades no Apache HTTP Server versão 2.4