Vulnerabilità in Apache HTTP Server: aggiornare subito

Scoperta una vulnerabilità critica in Apache HTTP Server che permette l'accesso a script conservati in altre locazioni di memoria e che di norma dovrebbero essere protetti. Rilasciato un nuovo aggiornamento per evitare l'esecuzione di codice arbitrario sul server web vulnerabile.
Michele Nasi
Pubblicato il 8 ott 2021
Vulnerabilità in Apache HTTP Server: aggiornare subito

Apache Software Foundation ha da poco rilasciato la versione 2.4.51 del server web Apache HTTP Server per risolvere alcune gravi vulnerabilità di sicurezza.

Nei giorni scorsi era stato risolto il problema di sicurezza contraddistinto dall’identificativo CVE-2021-41773: permetteva a eventuali script malevoli caricati dal server web di verificare la presenza di altri script memorizzati sulla macchina all’interno di percorsi che non dovrebbero essere raggiungibili.

I cosiddetti path traversal attack permettono di attingere a risorse che non sono presenti nella cartella radice dello script.
Di norma queste richieste vengono bloccate ma nel caso del bug in questione i filtri vengono aggirati utilizzando una particolare codifica dei caratteri a livello di URL.
In alcuni caso l’attacco potrebbe consentire a un aggressore di leggere addirittura il sorgente dei file (i.e. script CGI).

Affinché l’attacco vada in porto, la macchina vulnerabile deve utilizzare Apache HTTP Server versione 2.4.49 con il parametro “require all denied” disattivato (risulta essere, purtroppo, la configurazione predefinita).
Le versioni precedenti di Apache o quelle che hanno una diversa configurazione non sono vulnerabili.

Una semplice verifica con il motore di ricerca Shodan mette in evidenza che sono decine di migliaia i sistemi basati su Apache HTTP Server esposti sulla rete Internet che soffrono della vulnerabilità.

A distanza di poco tempo un gruppo di ricercatori ha scoperto che la vulnerabilità in questione può essere sfruttata anche per eseguire codice dannoso sul server web basato su Apache. Essenziale è la presenza e l’effettivo caricamento del modulo mod_cgi con il parametro “require all denied” disabilitato.

In questo bollettino aggiornato Apache conferma che la patch rilasciata nei giorni scorsi non è sufficiente a proteggere adeguatamente i server ed è stato quindi necessario rilasciare la versione 2.4.51. Gli amministratori di sistema sono invitati a scaricarla e applicarla quanto prima.

L’installazione della nuova versione permette di scongiurare anche eventuali attacchi DoS basati su un’imperfetta gestione di alcune richieste HTTP/2.

Ti consigliamo anche

PIN, così popolari ma tanto facili da indovinare: ecco i più usati
Business

PIN, così popolari ma tanto facili da indovinare: ecco i più usati
Vuoi cancellare i tuoi dati dal web? Scegli Incogni
Offerte

Vuoi cancellare i tuoi dati dal web? Scegli Incogni
Scoprite quanto ci vuole per violare le vostre password nel 2024
Password management

Scoprite quanto ci vuole per violare le vostre password nel 2024
Trapelata e-mail FBI: chiesta maggiore sorveglianza senza permesso cittadini
Sicurezza

Trapelata e-mail FBI: chiesta maggiore sorveglianza senza permesso cittadini
Link copiato negli appunti