Cómo protegerse frente a la vulnerabilidad de Apache HTTP Server
Lo que debes saber:
- Según las informaciones que manejamos, los atacantes están aprovechando la reciente vulnerabilidad de Apache HTTP Server (CVE-2021-41773). Aunque se trata de una vulnerabilidad no autenticada y susceptible de aprovechamiento a distancia, se deben cumplir determinadas condiciones para que los servidores queden expuestos.
- Fastly ya detecta esta vulnerabilidad (TRAVERSAL & CMDEXE). Como medida de precaución complementaria, recomendamos a los clientes de nuestro WAF de última generación (antes conocido como «Signal Sciences») que creen una regla que neutralice esta vulnerabilidad (consulta los detalles a continuación).
- El parche que Apache ha publicado debe aplicarse de inmediato a cualquier instancia de Apache HTTP Server que ejecute la versión 2.4.49.
La vulnerabilidad CVE-2021-41773 es un ataque de cruce de directorio y divulgación de archivo que facilita la ejecución remota de código en Apache HTTP Server 2.4.49 (solo afecta a esta versión). Permite al usuario remoto acceder sin autorización a directorios restringidos, con lo que podría ejecutar código remoto para hacerse con el control del sistema objeto del ataque.
¿Qué consecuencias tiene?
Esta vulnerabilidad afecta únicamente a la versión 2.4.49 de Apache HTTP Server (también conocido como «httpd») cuya configuración predeterminada del control de acceso —«Require all denied»— esté deshabilitada. Aunque los atacantes tienen que encontrar servidores que cumplan esas mismas condiciones para sacar partido de la vulnerabilidad, los datos que ofrece Shodan sugieren que son más de 100 000 los servidores que se encuentran en esa situación.
Si un atacante se aprovecha de esta vulnerabilidad como usuario no autenticado, podría acceder al sistema sin restricciones; y, por tanto, podría leer o filtrar información sensible o, en el peor de los casos, hacerse con el control del sistema. Además, esta vulnerabilidad podría traducirse en la filtración del código fuente de archivos interpretados como scripts CGI. Estos podrían contener suculentos recursos (p. ej., credenciales y claves) cuyo acceso por parte de atacantes nunca es deseable.
Limitaciones de la vulnerabilidad
La versión 2.4.49 de httpd solo lleva dos semanas en circulación, de modo que las empresas cuyos servidores no se hayan actualizado son inmunes a esta vulnerabilidad. Se da la curiosidad, pues, que es mejor haber hecho caso omiso de la actualización, pero cabe recordar que la mejor estrategia suele ser seguir las consignas de seguridad.
La mejor conclusión que podemos extraer es que dotar a tus servidores de medidas de seguridad que protejan los valores predeterminados (como habilitar «Require all denied») es, por definición, una estrategia de seguridad sólida.
Por qué no es grave
Gracias a las mejoras que se han implantadoen las prácticas de ingeniería en los últimos años, los ataques libres de cruce de directorio y ejecución de código a distancia son cada vez menos frecuentes. Así, esta vulnerabilidad viene a meternos algo de miedo curiosamente en el mes en que se celebran Halloween y el evento Cyber Security Awareness.
Análisis en profundidad
La corrección de cruce de directorios que se había implementado en la versión 2.4.49 aportaba como novedad la verificación de la existencia de caracteres de salto de directorio, como «../». Sin embargo, la corrección no presuponía la posibilidad de que un atacante proporcionara versiones de estos caracteres codificadas por porcentajes. La nueva corrección, que venía implementada en la versión 2.4.50 de httpd, hacía comprobaciones en busca de «%2E» y «%2e», que son la representación codificada del punto («.»). Esto quería decir que los atacantes ya no podrían utilizar este inteligente resquicio para llevar a cabo ataques de cruce o salto de directorio.
A pesar de ello, se ha determinado que la corrección de la vulnerabilidad CVE-2021-41773, incluida en la versión 2.4.50 de Apache HTTP Server, no es suficiente. Un atacante podría lanzar un ataque de cruce de directorio con el objetivo de asignar direcciones URL a archivos fuera de los directorios configurados mediante directivas del tipo Alias.
Qué hacer
Todos los usuarios en cuyos servidores se ejecute la versión 2.4.49 de Apache HTTP Server deben asegurarse de habilitar el ajuste «Require all denied» y, mejor todavía, actualizarse a la versión 2.4.51, que incluye la corrección de esta vulnerabilidad (además de la incluida en la versión 2.4.50).
Fastly ya detecta esta vulnerabilidad por medio de las señales TRAVERSAL & CMDEXE. Si eres cliente de nuestro WAF de última generación, quizás prefieras seguir los pasos que recogemos a continuación. Te permitirán habilitar una regla de sitio que te proteja frente al aprovechamiento de CVE-2021-41773.
Accede a Site Rules
y haz clic en Create a site rule
. En la pantalla correspondiente, podrás especificar las condiciones tal y como te lo indicamos: