Разработчики: | Apache Software Foundation (ASF) |
Дата последнего релиза: | 2023/01/20 |
Технологии: | Серверные платформы |
Содержание |
2024
В веб-сервере Apache критическая уязвимость. ФСТЭК рекомендует принять меры
ФСТЭК в начале сентября разослала предупреждение об исправлении проектом Apache опасной уязвимости BDU:2024-06593[1], которая позволяет нарушителю, действующему удалённо, выполнить произвольный код. По классификации CVSSv3 уязвимость имеет критический уровень опасности – 9.8 из 10. Производитель еще 17 июля выпустил исправления[2] в версии 2.4.62, в котором исправлена в том числе и указанная критическая уязвимость.
Она была обнаружена двумя исследователями из компании DBAPPSecurity Ltd. и обнародована 9 июля этого года. Уязвимость присутствует в версиях Apache 2.4.60 и 2.4.61 и возникла из-за некорректной реализации функции mod_rewrite веб-сервера Apache HTTP Server под Windows. Ошибка позволяет злоумышленнику организовать утечку NTLM-хэшей на контролируемый им сервер с помощью подделки запросов со стороны сервера (SSRF-атака).
В России на сегодняшний день 66499 серверов на Apache, по данным Shodan, – сообщил читателям TAdviser Альберт Антонов, руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage. – Публичного средства для автоматизированного использования данной уязвимости (эксплойта) сейчас нет. Это дает время пользователям для обновления. |
Однако сколько из почти 66,5 тыс. расположенных на территории России серверов Apache работает под Windows не очень понятно. Веб-сервера в большей части работают под управлением Linux, для которой данная уязвимость не актуальна.
Основными продуктами здесь являются Nginx, IIS и, собственно, Apache, – сообщил TAdviser Антон Квардаков, заместитель начальника отдела технической защиты конфиденциальной информации Cloud Networks. – Так как IIS - продукт Microsoft, то от него сейчас тоже отказываются на российском рынке, заменяя его на лидирующий Nginx и Apache. С учётом этого все больше систем будет подвержено данной уязвимости. Возможность выполнения произвольного кода нарушает все критерии безопасности (конфиденциальность, целостность, доступность), а также может привести к распространению вредоносного кода на компьютеры пользователей. |
ФСТЭК рекомендует оперативно обновить уязвимые версии, установив на них исправления, предоставленные разработчиком. Если же это по каким-то причинам сделать оперативно не получится, то рекомендуется хотя бы выполнить следующие действия:
- использовать средства межсетевого экранирования уровня веб-приложений (WAF) для ограничения возможности удалённого доступа и эксплуатации уязвимости;
- использовать виртуальные частные сетей для организации удаленного доступа (VPN) к уязвимым серверам.
Эксплуатация уязвимости BDU:2024-06593 может привести к потенциальному контролю над сервером и возможной компрометации данных со стороны третьих лиц, – заявил для TAdviser Игорь Бедеров, руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet. – Учитывая риски использования недокументированных возможностей Apache со стороны третьих лиц или организаций, а также возможность внедрения в них закладки, рекомендуется использовать дополнительные меры защиты, такие как межсетевые экраны и VPN-сети. |
Однако веб-сервер обычно устанавливается в открытой сети Интернет, и доступ к нему должен быть открыт всем желающим, поэтому защитить его с помощью межсетевого экрана будет затруднительно. Возможно, с помощью WAF удастся фильтровать попытки эксплуатации данной уязвимости, однако при SSRF-атаке нужно фильтровать не только поступающие запросы, но и ответы сервера, чтобы исключить утечку NTLM-хэшей. Так что лучшим решением проблемы все-таки будет максимально оперативная установки обновлений, в которых данная уязвимость отсутствует.
ФСТЭК предупредила об уязвимости, «убивающей» веб-сайты
ФСТЭК 8 апреля разослала предупреждение об уязвимости BDU:2024-02653[3] в реализации протокола HTTP/2 в веб-сервере Apache HTTP Server, которая позволяет с помощью специальной последовательности пакетов вывести веб-сервер из строя, то есть совершить DoS-атаку на уязвимый сервер и сделать его недоступным. Впрочем, по данным американского центра реагирования на инциденты ИБ (CERT CC) этой же уязвимости[4] подвержено достаточно много реализаций HTTP/2 серверов: Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, h2 Rust crate, nghttp2, amphp/http, Node.js и Tempesta FW.
Уязвимость фактически является архитектурной. Дело в том, что протокол HTTP/2 позволяет разделить запрос к серверу на нескольких фреймов (так называемые CONTINUATION-фреймы), последний из которых должен содержать флаг END_HEADERS. Это и позволяет злоумышленнику сделать бесконечный набор фреймов без финального флага, которые должны быть обработаны сервером. В конце концов ресурсы сервера на их обработку будут исчерпаны, и сервер выйдет из строя. Атака получила наименование CONTINUATION Flood. Для вывода сервера из строя она не требует большого потока данных, поэтому задействовать ресурсы распределенных систем для DDoS-атак нет необходимости.TrafficSoft ADC: балансировщик нагрузки с высокой скоростью работы и минимальными аппаратными требованиями
Уязвимость обнаружил исследователь Бартек Новотарски, который ещё 25 января сообщил о ней в CERT CC. Только в начале апреля эта уязвимость была официально подвержена, и некоторые производители своих веб-серверов оперативно выпустили для нее заплатки. И если у иностранных разработчиков было достаточно времени для ее разработки и тестирования — CERT обычно при получении сведений об уязвимости связывается с производителями соответствующих продуктов, то у российских такой возможности, скорее всего, не было.
Проект Apache, в частности, оперативно выпустил исправления[5] для указанной ошибки: версия 2.4.59 должна противостоять подобной атаке. Другие производители также в ближайшее время, скорее всего, исправят подобную уязвимость. Если же исправлений нет, то ФСТЭК рекомендует использовать системы обнаружения и предотвращения вторжений, позволяющие прервать реализацию атаки CONTINUATION Flood (этот функционал должен быть в WAF-продуктах), а также ограничить использование протокола HTTP/2, то есть временно, до исправления уязвимости, перейти на более старую версию HTTP /1.1. Однако велика вероятность, что встроенные в какие-нибудь аппаратные устройства сервера с веб-интерфейсом оперативно ни обновить, ни перенастроить не получиться, что может привести к выходу их из строя.
2023: Apache HTTP Server 2.4.55
20 января 2023 года стало известно о том, что опубликован релиз HTTP-сервера Apache 2.4.55, в котором представлено 18 изменений и устранено 3 уязвимости:
- CVE-2022-37436: атака по разделению ответов HTTP в mod_proxy. Подконтрольный атакующему бэкенд может произвести усечение HTTP-заголовков ответа так, что следом идущие заголовки окажутся в теле ответа (например, таким образом можно отбросить связанные с обеспечением безопасности заголовки).
- CVE-2022-36760: модуль mod_proxy_ajp подвержен атакам класса "HTTP Request Smuggling" на системы фронтэнд-бэкенд, позволяющим вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом.
- CVE-2006-20001: возможность записи одного нулевого байта в область вне границ буфера, проявляющаяся при обработке в mod_dav специально оформленного заголовка "If:".
Наиболее заметные изменения, не связанные с безопасностью:
- mod_proxy_http2 переведён на общий с другими прокси-модулями механизм обработки типа содержимого ответов, приходящих от бэкендов.
- В mod_proxy_hcheck учтено значение таймаута, выставленное для рабочих процессов.
- В mod_http2 частично переписан код обработки соединений и потоков. Для отслеживания основного соединения и обработки ввода/вывода для запросов и ответов задействована функция pollset из APR (Apache Portable Runtime). Обеспечено удаление начальных и финальных пробелов и табуляций в значениях заголовков ответов и запросов.
- В mod_proxy_hcheck в hcmethod разрешены запросы HTTP/1.1 с использованием методов GET11, HEAD11 и OPTIONS11. Обеспечена корректная проверка поддержки AJP/CPING.
- В mod_authn_core добавлена поддержка выражений в AuthName и AuthType.
- В mod_md добавлена директива MDStoreLocks, предназначенная для блокировки совместного хранилища для обеспечения корректной активации обновлённых сертификатов при одновременном перезапуске нескольких узлов кластера.
- В mod_heartmonitor разрешено указание директивы "HeartbeatMaxServers 0" для использования файлового хранилища вместо slotmem.
- В mod_dav добавлена опция DAVlockDiscovery для отключения определения блокировок WebDAV[6].
2012: Apache HTTP Server 2.4
Это первое крупное обновление (2012 года) c 2005 года, когда вышла версия 2.2. Новые особенности Apache улучшают способность сервера к работе в средах с большим трафиком.
Apache — самый популярный веб-сервер: по данным Netcraft, он применяется почти на 400 млн сайтов, или на 65% от общего их количества. Второе место — у Microsoft IIS, 14,5%. Но возможно, главный конкурент Apache — это nginx: его доля меньше 10%, но за последний месяц он получил 12 тыс. новых сайтов, тогда как Apache потерял 18 тыс.
Многие новые особенности Apache 2.4 повторяют аналогичные, благодаря которым стал популярным nginx. Новый Apache обслуживает больше одновременных соединений и использует меньше памяти. Модуль обратного прокси позволяет использовать один внешний IP-адрес для множества серверов с часто меняющимися внутренними адресами. Таймауты можно задавать с точностью до миллисекунды, ресурсные ограничения тоже контролируются более детально. Улучшен механизм кэширования с расчетом на большие объемы трафика.
Примечания
- ↑ BDU:2024-06593: Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server
- ↑ Apache HTTP Server: SSRF with mod_rewrite in server/vhost context on Windows
- ↑ БДУ:2024-02653
- ↑ HTTP/2 CONTINUATION frames can be utilized for DoS attacks
- ↑ Fixed in Apache HTTP Server 2.4.59
- ↑ Релиз http-сервера Apache 2.4.55 с устранением уязвимостей
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (89)
X-Com (Икс ком) (57)
Крок (35)
Астерос (34)
Инфосистемы Джет (34)
Другие (1095)
X-Com (Икс ком) (10)
Softline (Софтлайн) (6)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (5)
Крок (4)
Delta Computers (Дельта Компьютерс) (3)
Другие (53)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3)
Мобильные ТелеСистемы (МТС) (3)
Почта России (2)
Селектел (Selectel) (2)
Гагар.ИН (1)
Другие (24)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Lenovo (1, 6)
Lenovo Data Center Group (1, 6)
SOTI (1, 3)
КНС Групп (Yadro) (1, 3)
Bull (Atos IT Solutions And Services) (2, 2)
Другие (18, 20)
Селектел (Selectel) (1, 2)
Lenovo Data Center Group (1, 1)
Базальт СПО (BaseALT) ранее ALT Linux (1, 1)
КРУГ НПФ (1, 1)
Ситроникс (Sitronics) (1, 1)
Другие (7, 7)
Аладдин Р.Д. (Aladdin R.D.) (1, 2)
DEPO Computers (Депо Электроникс) (1, 1)
Lenovo (1, 1)
Red Hat (1, 1)
КРУГ НПФ (1, 1)
Другие (8, 8)
TrueConf (Труконф) (1, 2)
КНС Групп (Yadro) (1, 2)
Content AI (Контент ИИ) (1, 2)
Сбербанк-Технологии (СберТех) (1, 1)
AirBit (АирБит) (1, 1)
Другие (2, 2)
Распределение систем по количеству проектов, не включая партнерские решения
Microsoft Active Directory - 32
Oracle Exadata Database Machine - 21
Oracle WebLogic Server - 20
Microsoft System Center Operations Manager (SCOM) - 18
Lenovo ThinkSystem - 17
Другие 366
Lenovo ThinkSystem - 6
Soti Mobicontrol - 3
Yadro Сервер - 3
Ngenix Облачная платформа - 2
Dell EMC PowerEdge - 2
Другие 15
Selectel Выделенные серверы - 2
Серверы Ситроникс - 1
Альт Сервер - 1
HPE Apollo 4000 Серверы - 1
Aerodisk Machine Серверы - 1
Другие 5