image

VS roept systeembeheerders op om Apache-lek meteen te patchen

vrijdag 8 oktober 2021, 15:49 door Redactie, 13 reacties

De Amerikaanse overheid heeft systeembeheerders opgeroepen om een kwetsbaarheid in Apache HTTP Server meteen te patchen en niet te wachten tot na het weekend. Via het beveiligingslek in Apache 2.4.49 en 2.4.50 kan een aanvaller in het ergste geval kwetsbare webservers op afstand overnemen.

Internetbedrijf Cloudflare heeft naar eigen zeggen sinds 5 oktober een sterke toename gezien van pogingen om kwetsbare servers te vinden en exploiteren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security meldt ook dat aanvallers naar kwetsbare systemen zoeken en dat dit naar verwachting zal toenemen, wat uiteindelijk tot exploitatie van webservers zal leiden.

"Er lijken verschillende groepen aanvallers misbruik van dit beveiligingslek te maken", zegt Nick Biasini van Cisco. "Sommige zijn slechts scanners die naar kwetsbare hosts zoeken. Andere gaan door grote lijsten domeinen heen met verschillende generieke HTTP-scans die deze kwetsbaarheid gebruiken. En er is een andere groep die op een veel lager volume opereert en zeer geïnteresseerd is in dit specifieke beveiligingslek."

Het CISA roept organisaties op om de kwetsbaarheid meteen te patchen als dat nog niet is gedaan. "Dit kan niet wachten tot na het vakantieweekend", aldus de overheidsinstantie. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server. Eerder deze week kwam de Apache Software Foundation met een beveiligingsupdate voor een actief aangevallen zerodaylek in Apache 2.4.49. Versie 2.4.50 bleek onvolledig en de kwetsbaarheid niet helemaal te verhelpen, waarop gisteren Apache 2.4.51 is uitgebracht.

Image

Reacties (13)
09-10-2021, 08:00 door Anoniem
Dus patchen met versie 2.4.48
09-10-2021, 12:56 door Anoniem
Door Anoniem: Dus patchen met versie 2.4.48
Als je alleen dit artikel leest zou je dat inderdaad kunnen concluderen, maar als je de changelog leest zie je dat versie 2.4.48 diverse kwetsbaarheden kent, die in de volgende versies gepatched zijn. Een van die patches (41773) bleek onvolledig:
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013

Fixed in Apache HTTP Server 2.4.51
Critical: Path Traversal and Remote Code Execution in Apache HTTP server 2.4.49 and 2.4.50
CVE-2021-42013 (incomplete fix of CVE-2021-41773)
It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives. If files outside of these directories are not protected by the usual default configuration "require all denied", these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution. This issue only affects Apache 2.4.49 and Apache 2.4.50 and not earlier versions

Fixed in Apache HTTP Server 2.4.50
CVE-2021-41524
CVE-2021-41773

Fixed in Apache HTTP Server 2.4.49
CVE-2021-33193
CVE-2021-34798
CVE-2021-36160
CVE-2021-39275
CVE-2021-40438

Dus terugvallen op versie 2.4.48 betekent dat je zeven CVE's ongepatched laat, of beter gezegd "herintroduceert" in je systeem.
De enige juiste oplossing lijkt mij installatie van versie 2.4.51 ASAP.
09-10-2021, 13:48 door Lizard
Door Anoniem: Dus patchen met versie 2.4.48
"Versie 2.4.50 bleek onvolledig en de kwetsbaarheid niet helemaal te verhelpen, waarop gisteren Apache 2.4.51 is uitgebracht."
10-10-2021, 10:34 door truthfullurker
"...researchers have verified that the vulnerability can be used for remote code execution when mod_cgi is enabled. While mod_cgi is not enabled in the default Apache Server HTTP configuration, it’s also not an uncommon feature to enable...."

https://www.rapid7.com/blog/post/2021/10/06/apache-http-server-cve-2021-41773-exploited-in-the-wild/
10-10-2021, 11:05 door Anoniem
en ALTIJD SELinux aan laten!
10-10-2021, 13:31 door Anoniem
Ik ben altijd wel benieuwd in hoeverre er ook nog andere versies zijn (bv. backported, forks, etc.) die nu kwetsbaar zijn. Is daar iets over bekend?

Je kon in de CVE's op https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41773 daar soms nog wat over lezen, maar bij deze staat niets.
11-10-2021, 08:07 door [Account Verwijderd]
NOGMAALS: je hoeft bij reguliere Linux distributies niet zelf te gaan vissen naar versienummers. Het securityteam van de gebruikte Linux distributie patcht de versie die in de distributie is gebruikt en die geüpdatete versie komt met een subversieaanduiding in de updatemanager terecht ('apt-get update', whatever).
11-10-2021, 09:27 door Anoniem
Door Toje Fos: NOGMAALS: je hoeft bij reguliere Linux distributies niet zelf te gaan vissen naar versienummers. Het securityteam van de gebruikte Linux distributie patcht de versie die in de distributie is gebruikt en die geüpdatete versie komt met een subversieaanduiding in de updatemanager terecht ('apt-get update', whatever).
Wij gebruiken apache onder windows, dan moet het helaas wel.
11-10-2021, 10:15 door Anoniem
Door Toje Fos: NOGMAALS: je hoeft bij reguliere Linux distributies niet zelf te gaan vissen naar versienummers. Het securityteam van de gebruikte Linux distributie patcht de versie die in de distributie is gebruikt en die geüpdatete versie komt met een subversieaanduiding in de updatemanager terecht ('apt-get update', whatever).
Dat verandert niets aan het feit, dat je snel moet updaten. In jouw beschrijving dan niet bij Apache, maar bij je Linux dsitributie
11-10-2021, 10:41 door Anoniem
Door Anoniem:
Door Toje Fos: NOGMAALS: je hoeft bij reguliere Linux distributies niet zelf te gaan vissen naar versienummers. Het securityteam van de gebruikte Linux distributie patcht de versie die in de distributie is gebruikt en die geüpdatete versie komt met een subversieaanduiding in de updatemanager terecht ('apt-get update', whatever).
Dat verandert niets aan het feit, dat je snel moet updaten. In jouw beschrijving dan niet bij Apache, maar bij je Linux dsitributie

En laat dat nu gewoon helemaal automatisch dagelijks (of per uur of nog sneller) kunnen met een cron job....
11-10-2021, 23:47 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos: NOGMAALS: je hoeft bij reguliere Linux distributies niet zelf te gaan vissen naar versienummers. Het securityteam van de gebruikte Linux distributie patcht de versie die in de distributie is gebruikt en die geüpdatete versie komt met een subversieaanduiding in de updatemanager terecht ('apt-get update', whatever).
Wij gebruiken apache onder windows, dan moet het helaas wel.

Madre de Diablo! Apache onder Windows! Ik wist eerlijk gezegd niet eens dat dat kon. Ik wens jullie in alle oprechtheid veel sterkte! (en bewonder jullie altruïsme, doorzettingsvermogen en stressbestendigheid).
12-10-2021, 00:02 door Anoniem
Servers overnemen en versleutelen dat kan alleen onder windows.
12-10-2021, 09:31 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Toje Fos: NOGMAALS: je hoeft bij reguliere Linux distributies niet zelf te gaan vissen naar versienummers. Het securityteam van de gebruikte Linux distributie patcht de versie die in de distributie is gebruikt en die geüpdatete versie komt met een subversieaanduiding in de updatemanager terecht ('apt-get update', whatever).
Wij gebruiken apache onder windows, dan moet het helaas wel.

Madre de Diablo! Apache onder Windows! Ik wist eerlijk gezegd niet eens dat dat kon. Ik wens jullie in alle oprechtheid veel sterkte! (en bewonder jullie altruïsme, doorzettingsvermogen en stressbestendigheid).
Dat klinkt logisch want volgens Microsoft heb je voor elke IIS internetgebruiker een licentie nodig!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.