Zurück zum Blog

Folgen und abonnieren

Wie sich unsere Kunden gegen die Sicherheitslücke im Apache HTTP Server schützen können

Fastly Security Research Team

Fastly Security Research Team, Fastly

Was Sie unbedingt wissen sollten:

- Die jüngste Sicherheitslücke im Apache HTTP Server (CVE-2021-41773) wird Berichten zufolge weitläufig ausgenutzt.Es handelt sich dabei zwar um eine nicht authentifizierte, nur über Fernzugriff ausnutzbare Schwachstelle, doch müssen bestimmte Bedingungen erfüllt sein, damit die Server überhaupt erst anfällig sind.
– Fastly erkennt diese Sicherheitslücke bereits (TRAVERSAL und CMDEXE).Als zusätzliche Vorsichtsmaßnahme empfehlen wir unseren Next-Gen-WAF-Kunden (ehemals Signal Sciences), eine Regel zum Blockieren von Exploitation zu erstellen (siehe unten).
– Es gibt einen Patch von Apache, der umgehend auf jeden Apache HTTP Server der Version 2.4.49 angewendet werden sollte.


CVE-2021-41773 ist eine Path-Traversal- und Datei-Offenlegungs-Schwachstelle im Apache HTTP Server 2.4.49 (nur diese Version), in deren Rahmen Angreifer Remote-Code ausführen.Sie ermöglicht es einem Remote-Nutzer, unbefugt Zugriff auf eingeschränkte Verzeichnisse zu erhalten und potentiell Remote-Code auszuführen, um Kontrolle über das Zielsystem zu erlangen.

Was sind die Auswirkungen?

Diese Sicherheitslücke betrifft nur den Apache HTTP Server (auch bekannt als httpd), Version 2.4.49,bei dem die Standardkonfiguration der Zugriffskontrolle „require all denied“ deaktiviert ist.Das bedeutet zwar, dass Angreifer erst einmal Server mit diesen spezifischen Bedingungen finden müssen, aber Daten von Shodan deuten darauf hin, dass es über 100.000 Server gibt, die diese Kriterien erfüllen. 

Wenn ein Angreifer diese Schwachstelle als nicht authentifizierter Nutzer ausnutzt, kann er vollen Zugriff auf das System erlangen.Von dort aus kann er sensible Informationen lesen oder ausfiltern oder im schlimmsten Fall die Kontrolle über das System übernehmen.Darüber hinaus kann ein Ausnutzen dieser Schwachstelle den Quellcode von interpretierten Dateien wie CGI-Skripten preisgeben, die vertrauliche Ressourcen wie Anmeldedaten und Schlüssel enthalten können. Und darauf sollten Angreifer sicherlich keinen Zugriff haben können, oder?

Ja, aber …

Version 2.4.49 von httpd gibt es erst seit zwei Wochen [Datum der Blogveröffentlichung: 7. Oktober 2021], so dass Unternehmen, die ihre Server noch nicht aktualisiert haben, von dieser Sicherheitslücke nicht betroffen sind. In diesem seltenen Fall zahlt sich das Aufschieben aus, aber das ist ein reiner Glücksfall und sollte nicht als Sicherheitsstrategie betrachtet werden.

Besser ist die Haltung, sichere Standardeinstellungen (wie die Aktivierung von „require all denied“) auf Ihren Servern beizubehalten, weil das eine solide Standard-Sicherheitsstrategie ist.

Warum das Ganze cool ist

Dank besserer technischerVerfahren in den letzten Jahren sind Schwachstellen wie Path Traversal und RCE in öffentlich zugänglichen Systemen immer seltener anzutreffen.Wie passend also, dass wir in dem Monat, der sich sowohl um Halloween als auch um „Cyber Security Awareness“ (Bewusstsein für Cybersicherheit) dreht, von einer so gruseligen Angelegenheit sprechen.

Mehr zum Thema

Die in 2.4.49 vorgenommene Korrektur des Path Traversal hat eine Prüfung auf das Vorhandensein von Path-Traversal-Zeichen (wie „../“) eingeführt. Leider ging die Korrektur nicht von der Möglichkeit aus, dass ein Angreifer mit einem Prozentzeichen verschlüsselte Versionen dieser Zeichen bereitstellt. Der neue Fix, der in httpd Version 2.4.50 eingebaut wurde, prüft nun auf „%2E“ und „%2e“, was die kodierte Darstellung des Punktes („.“) ist. Das bedeutet, dass Angreifer dieses clevere Schlupfloch nicht mehr für Path Traversal nutzen können.

Es wurde festgestellt, dass die Korrektur für CVE-2021-41773 im Apache HTTP Server 2.4.50 unzureichend war. Ein Angreifer kann einen Path-Traversal-Angriff durchführen, um URLs auf Dateien außerhalb der durch Alias-ähnliche Direktiven konfigurierten Verzeichnisse abzubilden.

Was Sie tun sollten

Jeder, der einen Apache HTTP Server mit Version 2.4.49 verwendet, sollte sicherstellen, dass die Konfiguration „require all denied“ aktiviert ist, und im Idealfall auf Version 2.4.51 aktualisieren, die die Behebung dieser Sicherheitslücke (und der in 2.4.50 eingeführten Version) enthält. 

Fastly erkennt diese Schwachstelle bereits über die Signale TRAVERSAL und CMDEXE.Wenn Sie ein Next-Gen-WAF-Kunde sind, können Sie auch die folgenden Schritte ausführen, um eine Site-Regel zu aktivieren, die Sie vor der Ausnutzung von CVE-2021-41773 schützt.

Navigieren Sie zu den Site Rules (Site-Regeln) und klicken Sie auf Create a site rule (Site-Regel erstellen).Von dort aus können Sie die Bedingungen wie folgt ausfüllen:

Weitere Lektüre