Vulnerabilidad zero-day en Apache HTTP server 2.4.49

Se ha hecho público una vulnerabilidad crítica de día cero que afecta a Apache HTTP Server, uno de los servidores web de código abierto más utilizados para Unix y Windows, la cual podría permitir a atacantes externos tener acceso a archivos arbitrarios que residen en los sistemas afectados.

El fallo de seguridad con identificador CVE-2021-41773, descubierto por el investigador Ash Daulton con el equipo de cPanel Security Team, reside en la normalización de rutas de Apache HTTP Server y es clasificado de tipo path traversal y file disclosure.

Los ataques de tipo path traversal implican el envío de solicitudes para acceder a directorios sensibles del servidor o de backend, que deberían estar fuera del alcance público. Normalmente estas solicitudes se bloquean, pero en este caso, los filtros se omiten mediante el uso de caracteres codificados (ASCII).

Un atacante externo no autenticado podría utilizar un ataque path traversal para mapear URLs hacia archivos que se encuentren fuera de la raíz de documentos en el servidor web vulnerable. Si los archivos fuera de la raíz de documentos no están protegidos por el parámetro de control de acceso “require all denied” (deshabilitado por defecto), estas solicitudes maliciosas podrían ser exitosas permitiendo al atacante ganar acceso a archivos arbitrarios.

Además, el fallo podría filtrar la fuente de archivos interpretados como scripts CGI, la cual puede contener información confidencial que los atacantes pueden aprovechar para realizar más ataques, y desplegar ataques de ejecución remota de código.

Sin embargo, Apache publicó nuevas actualizaciones para remediar lo que llamó una «solución incompleta». CVE-2021-42013, como se ha identificado a la nueva vulnerabilidad, fue basado en CVE-2021-41773, y pese a que la versión publicada solucionó el problema, se comprobó que la vulnerabilidad se podría abusar para adquirir ejecución remota de scripts si el módulo «mod_cgi» estaba cargado y la configuración «require all denied» se encontraba ausente.

Productos afectados

La vulnerabilidad solo afecta a las siguientes versiones de Apache HTTP Server:

  • Apache HTTP Server 2.4.49
  • Apache HTTP Server 2.4.50

Recomendaciones

Apache recomienda actualizar a la versión 2.4.51 disponible en sus canales oficiales y no instalar la versión 2.4.49 que fue lanzada el 16 de septiembre del 2021.

Más información

https://es-la.tenable.com/blog/cve-2021-41773-path-traversal-zero-day-in-apache-http-server-exploited?tns_redirect=true

https://www.bleepingcomputer.com/news/security/apache-fixes-actively-exploited-zero-day-vulnerability-patch-now/

https://httpd.apache.org/security/vulnerabilities_24.html

https://thehackernews.com/2021/10/new-patch-released-for-actively.html