Apache Software Foundation ha da poco rilasciato la versione 2.4.51 del server web Apache HTTP Server per risolvere alcune gravi vulnerabilità di sicurezza.
Nei giorni scorsi era stato risolto il problema di sicurezza contraddistinto dall’identificativo CVE-2021-41773: permetteva a eventuali script malevoli caricati dal server web di verificare la presenza di altri script memorizzati sulla macchina all’interno di percorsi che non dovrebbero essere raggiungibili.
I cosiddetti path traversal attack permettono di attingere a risorse che non sono presenti nella cartella radice dello script.
Di norma queste richieste vengono bloccate ma nel caso del bug in questione i filtri vengono aggirati utilizzando una particolare codifica dei caratteri a livello di URL.
In alcuni caso l’attacco potrebbe consentire a un aggressore di leggere addirittura il sorgente dei file (i.e. script CGI).
Affinché l’attacco vada in porto, la macchina vulnerabile deve utilizzare Apache HTTP Server versione 2.4.49 con il parametro “require all denied” disattivato (risulta essere, purtroppo, la configurazione predefinita).
Le versioni precedenti di Apache o quelle che hanno una diversa configurazione non sono vulnerabili.
Una semplice verifica con il motore di ricerca Shodan mette in evidenza che sono decine di migliaia i sistemi basati su Apache HTTP Server esposti sulla rete Internet che soffrono della vulnerabilità.
A distanza di poco tempo un gruppo di ricercatori ha scoperto che la vulnerabilità in questione può essere sfruttata anche per eseguire codice dannoso sul server web basato su Apache. Essenziale è la presenza e l’effettivo caricamento del modulo mod_cgi
con il parametro “require all denied” disabilitato.
In questo bollettino aggiornato Apache conferma che la patch rilasciata nei giorni scorsi non è sufficiente a proteggere adeguatamente i server ed è stato quindi necessario rilasciare la versione 2.4.51. Gli amministratori di sistema sono invitati a scaricarla e applicarla quanto prima.
L’installazione della nuova versione permette di scongiurare anche eventuali attacchi DoS basati su un’imperfetta gestione di alcune richieste HTTP/2.