В веб-сервере Apache критическая уязвимость. ФСТЭК рекомендует принять меры

ФСТЭК в начале сентября разослала предупреждение об исправлении проектом Apache опасной уязвимости BDU:2024-06593^[1], которая позволяет нарушителю, действующему удалённо, выполнить произвольный код. По классификации CVSSv3 уязвимость имеет критический уровень опасности – 9.8 из 10. Производитель еще 17 июля выпустил исправления^[2] в версии 2.4.62, в котором исправлена в том числе и указанная критическая уязвимость.

Она была обнаружена двумя исследователями из компании DBAPPSecurity Ltd. и обнародована 9 июля этого года. Уязвимость присутствует в версиях Apache 2.4.60 и 2.4.61 и возникла из-за некорректной реализации функции mod_rewrite веб-сервера Apache HTTP Server под Windows. Ошибка позволяет злоумышленнику организовать утечку NTLM-хэшей на контролируемый им сервер с помощью подделки запросов со стороны сервера (SSRF-атака).

В России на сегодняшний день 66499 серверов на Apache, по данным Shodan, – сообщил читателям TAdviser Альберт Антонов, руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage. – Публичного средства для автоматизированного использования данной уязвимости (эксплойта) сейчас нет. Это дает время пользователям для обновления.

Однако сколько из почти 66,5 тыс. расположенных на территории России серверов Apache работает под Windows не очень понятно. Веб-сервера в большей части работают под управлением Linux, для которой данная уязвимость не актуальна.

Основными продуктами здесь являются Nginx, IIS и, собственно, Apache, – сообщил TAdviser Антон Квардаков, заместитель начальника отдела технической защиты конфиденциальной информации Cloud Networks. – Так как IIS — продукт Microsoft, то от него сейчас тоже отказываются на российском рынке, заменяя его на лидирующий Nginx и Apache. С учётом этого все больше систем будет подвержено данной уязвимости. Возможность выполнения произвольного кода нарушает все критерии безопасности (конфиденциальность, целостность, доступность), а также может привести к распространению вредоносного кода на компьютеры пользователей.

ФСТЭК рекомендует оперативно обновить уязвимые версии, установив на них исправления, предоставленные разработчиком. Если же это по каким-то причинам сделать оперативно не получится, то рекомендуется хотя бы выполнить следующие действия:

• использовать средства межсетевого экранирования уровня веб-приложений (WAF) для ограничения возможности удалённого доступа и эксплуатации уязвимости;
• использовать виртуальные частные сетей для организации удаленного доступа (VPN) к уязвимым серверам.

Эксплуатация уязвимости BDU:2024-06593 может привести к потенциальному контролю над сервером и возможной компрометации данных со стороны третьих лиц, – заявил для TAdviser Игорь Бедеров, руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet. – Учитывая риски использования недокументированных возможностей Apache со стороны третьих лиц или организаций, а также возможность внедрения в них закладки, рекомендуется использовать дополнительные меры защиты, такие как межсетевые экраны и VPN-сети.

Однако веб-сервер обычно устанавливается в открытой сети Интернет, и доступ к нему должен быть открыт всем желающим, поэтому защитить его с помощью межсетевого экрана будет затруднительно. Возможно, с помощью WAF удастся фильтровать попытки эксплуатации данной уязвимости, однако при SSRF-атаке нужно фильтровать не только поступающие запросы, но и ответы сервера, чтобы исключить утечку NTLM-хэшей. Так что лучшим решением проблемы все-таки будет максимально оперативная установки обновлений, в которых данная уязвимость отсутствует.

ФСТЭК предупредила об уязвимости, «убивающей» веб-сайты

ФСТЭК 8 апреля разослала предупреждение об уязвимости BDU:2024-02653^[3] в реализации протокола HTTP/2 в веб-сервере Apache HTTP Server, которая позволяет с помощью специальной последовательности пакетов вывести веб-сервер из строя, то есть совершить DoS-атаку на уязвимый сервер и сделать его недоступным. Впрочем, по данным американского центра реагирования на инциденты ИБ (CERT CC) этой же уязвимости^[4] подвержено достаточно много реализаций HTTP/2 серверов: Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, h2 Rust crate, nghttp2, amphp/http, Node.js и Tempesta FW.

Уязвимость фактически является архитектурной. Дело в том, что протокол HTTP/2 позволяет разделить запрос к серверу на нескольких фреймов (так называемые CONTINUATION-фреймы), последний из которых должен содержать флаг END_HEADERS. Это и позволяет злоумышленнику сделать бесконечный набор фреймов без финального флага, которые должны быть обработаны сервером. В конце концов ресурсы сервера на их обработку будут исчерпаны, и сервер выйдет из строя. Атака получила наименование CONTINUATION Flood. Для вывода сервера из строя она не требует большого потока данных, поэтому задействовать ресурсы распределенных систем для DDoS-атак нет необходимости.

Уязвимость обнаружил исследователь Бартек Новотарски, который ещё 25 января сообщил о ней в CERT CC. Только в начале апреля эта уязвимость была официально подвержена, и некоторые производители своих веб-серверов оперативно выпустили для нее заплатки. И если у иностранных разработчиков было достаточно времени для ее разработки и тестирования — CERT обычно при получении сведений об уязвимости связывается с производителями соответствующих продуктов, то у российских такой возможности, скорее всего, не было.

Проект Apache, в частности, оперативно выпустил исправления^[5] для указанной ошибки: версия 2.4.59 должна противостоять подобной атаке. Другие производители также в ближайшее время, скорее всего, исправят подобную уязвимость. Если же исправлений нет, то ФСТЭК рекомендует использовать системы обнаружения и предотвращения вторжений, позволяющие прервать реализацию атаки CONTINUATION Flood (этот функционал должен быть в WAF-продуктах), а также ограничить использование протокола HTTP/2, то есть временно, до исправления уязвимости, перейти на более старую версию HTTP /1.1. Однако велика вероятность, что встроенные в какие-нибудь аппаратные устройства сервера с веб-интерфейсом оперативно ни обновить, ни перенастроить не получиться, что может привести к выходу их из строя.

Подробнее на сайте: https://www.tadviser.ru/