Vulnerabilidades en Apache HTTP Server

Apache Software Foundation ha emitido un aviso de seguridad sobre dos vulnerabilidades críticas, las cuales plantean riesgos significativos para los servidores web en todo el mundo, lo que podría derivar en la divulgación del código fuente y en ataques de falsificación de solicitudes del lado del servidor (SSRF).

  • CVE-2024-40725 (CVSS N/A): Divulgación del código fuente a través de controladores configurados con AddType. Esta vulnerabilidad es una corrección parcial de un problema anterior, CVE-2024-39884, que se creía resuelto en la versión 2.4.61. Sin embargo, los atacantes aún pueden explotar ciertas configuraciones heredadas para exponer código fuente confidencial, incluidos scripts PHP que deberían ejecutarse en lugar de mostrarse. Esta falla podría revelar información confidencial y comprometer la integridad del servidor.
  • CVE-2024-40898 (CVSS N/A): Esta vulnerabilidad SSRF afecta específicamente al servidor HTTP Apache en sistemas Windows. Cuando se combina con configuraciones mod_rewrite en contextos de servidor o host virtual, los atacantes pueden extraer hashes NTML del servidor. Estos hashes se pueden utilizar para obtener acceso no autorizado o lanzar más ataques a la red.

Productos y versiones afectadas:

  •  Apache HTTP Server:  versiones 2.4.0 a 2.4.61.

Solución:

  • Apache HTTP Server: versión 2.4.62 o superior.

Recomendaciones:

  • Actualizar lo antes posible a la versión 2.4.62 de Apache HTTP Server para mitigar los riesgos potenciales.
  • Revisar y ajustar las configuraciones de AddType y mod_rewrite en el servidor.
  • Monitorear los sistemas para detectar posibles intentos de explotación de estas vulnerabilidades.

Referencias: