Aanvallers maken actief misbruik van een recent gepatchte kwetsbaarheid in Apache HTTP Server, zo waarschuwen Cisco en het Computer Emergency Response Team van de Duitse overheid (CERT-Bund). De kwetsbaarheid, aangeduid als CVE-2021-40438, is aanwezig in Apache HTTP Server 2.4.48 en eerder. De Apache Software Foundation bracht op 16 september een update uit om het beveiligingslek te verhelpen.

De "mod_proxy" module van de Apache-server fungeert als een proxy/gateway en ondersteunt verschillende protocollen en mechanismes voor het loadbalancen van webservices zoals videoconferencing. Door middel van Server-Side Request Forgery is het mogelijk voor een ongeauthenticeerde aanvaller om de Apache-server bepaalde requests te laten doorsturen naar een willekeurige server.

"Door het versturen van een speciaal geprepareerd request kunnen aanvallers de mod_proxy-module (wanneer ingeschakeld) dwingen om verbindingen naar een server naar keuze te routeren, waardoor aanvallers geheimen kunnen stelen, zoals infrastructuur-metadata of keys, of toegang tot andere interne servers kunnen krijgen", aldus internetbedrijf Fastly dat vorige maand nog 500.000 kwetsbare Apache-servers via de zoekmachine Shodan vond.

Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, maken aanvallers gebruik van de kwetsbaarheid voor het stelen van wachtwoordhashes. Onder andere de videoconferentiesoftware Cisco Expressway Series is kwetsbaar, zo stelt het BSI (pdf). Cisco meldt dat het ook misbruik van het beveiligingslek heeft waargenomen, maar geeft geen verdere details. Wel onderzoekt het bedrijf welke producten risico lopen.

Onlangs werd er ook misbruik van een andere Apache-kwetsbaarheid gemaakt. Volgens internetbedrijf Netcraft draait 26 procent van alle websites op internet op Apache HTTP Server.