Уязвимость в Apache подвергает опасности файрволы и роутеры

Александр Панасенко 06 Октября 2011 - 13:40

...

Специалисты, обслуживающие сервер Apache, предупреждают, что их HTTP daemon уязвим перед эксплойтами, которые дают шанс атакующим передать специальные команды в адресе внутренним серверам.

Уязвимости в версии 1.3 и всех вторых версия могут быть использованы только при определенных условиях. Например, сервер должен работать в режиме обратного прокси, что часто применяется для балансировки нагрузки и для разделения статичного и динамичного контента. Но даже в этом случае внутренние системы восприимчивы к стороннему доступу лишь при использовании определенных правил перезаписи, передает xakep.ru.

И, тем не менее, уязвимые конфигурации обратного прокси используются достаточно часто, что дало специалистам по обслуживанию Apache повод выпустить в эту среду ряд советов, рекомендующих пользователям проверить свои системы и выяснить, не подвергнуты ли они риску.

"Используя директивы RewriteRule или ProxyPassMatch для настройки обратного прокси по шаблону, можно ненароком подвергнуть внутренние серверы опасности перед удаленными пользователями, которые посылают специально сконструированные запросы", - гласят советы. "Сервер не проверяет, является ли переданная в паттерн строка действительно строкой пути, так что шаблон может быть расширен на нецелевой URL".

Об уязвимости доложила фирма Context Information Security, консультативное агентство по информационной безопасности, чьи офисы располагаются в Лондоне и других городах. В блоге исследователи компании сказали, что уязвимости могут быть использованы для получения доступа к крайне чувствительным демилитаризованным зонам организации, которые должны быть доступны лишь проверенным пользователям.

"Мы можем получить доступ к внутренней/ДМЗ системе, к которой имеет доступ прокси, включая интерфейсы администрирования брандмауэров, маршрутизаторов, серверов, баз данных и т.д.", - написали они.

"Мы добились немалых успехов в атаке. Ведь проверка полномочий во внутренних системах низка, и позволяет подвергнуть опасности целую сеть, в том числе с возможностью загрузки файлов Trojan War на серверы JBoss".

В пресс-релизе исследователи компании заявили, что и другие веб-серверы и прокси могут быть восприимчивы к эксплойтам.

Apache выпустила патч для тех, кто компилирует свою собственную сборку сервера. Не удивительно, если дистрибутивы Linux выпустят свои собственные обновления в течении нескольких дней. Адвизори от Apache также содержит предложения по переписыванию правил прокси, которые могут предотвратить действие атаки.

Исследователь безопасности Дэн Росенберг вторит предупреждениям и говорит, что ущерб от плохо настроенного прокси может быть катастрофическим и что риск может распространиться далеко за пределы Apache.

"В худшем случае это может вылиться в то, что атакующие смогут считывать чувствительные данные с внутренних ресурсов", - написал он в email. "Я бы не слишком удивился, если бы выяснилось, что механизмы обратного прокси на других серверах также пострадали, но баг весьма специфичен с точки зрения его внедрения, так что без проверки об этом наверняка говорить невозможно".

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 19 Ноября 2025 - 10:34

Мошенничество Соответствие законодательству РФ Общее

Московский суд приговорил топов ЗащитаИнфоТранс за мошенничество

Симоновский суд Москвы вынес приговор по делу Юрия Спасского, Виктора Парахина и Романа Лаврентьева. Все трое признаны виновными в мошенничестве в особо крупном размере и на момент расследования занимали руководящие должности в подведомственной Минтрансу компании «ЗащитаИнфоТранс».

Юрий Спасский руководил организацией, Виктор Парахин был его заместителем, а Роман Лаврентьев занимал должность заместителя начальника департамента ИТ.

Уголовное дело о хищении средств, выделенных на мероприятия по противодействию распространению коронавирусной инфекции на транспорте, возбудили ещё в 2021 году.

По версии следствия, фигуранты направили запрос на дополнительное финансирование доработок Единой государственной информационной системы обеспечения транспортной безопасности (ЕГИС ОТБ), разработанной и обслуживаемой «ЗащитаИнфоТранс». Минцифры отклонило заявку.

После этого новый запрос был подан уже от имени подконтрольных обвиняемым компаний «Вектор Технологии» и «Статус Комплайнс». Они подготовили предложения по модернизации ЕГИС на 106 млн рублей и оказанию информационных услуг на 93 млн рублей. Впоследствии общая сумма была снижена до 100 млн рублей, и эта заявка уже была одобрена.

Однако, по данным следствия, фактически никакие работы выполнены не были. Тем не менее в декабре 2020 года были оформлены предварительные испытания и подписаны акты сдачи-приёмки якобы выполненных услуг. В результате, как указывает «Коммерсантъ», сотрудники присвоили «не менее 50 млн рублей». По данным РБК, ссылающегося на Следственный комитет, сумма хищения составила 60 млн рублей.

Судебное разбирательство началось в марте. Все обвиняемые находились под стражей, однако позже Юрия Спасского освободили из изолятора, назначив ему запрет определённых действий.

Ни один из фигурантов свою вину не признал. РБК приводит слова Виктора Парахина, который объяснял необходимость модернизации ЕГИС ОТБ резким ростом нагрузки во время пандемии. Юрий Спасский утверждал, что работа велась в «тяжелейших условиях» в полностью удалённом режиме и находилась под контролем в том числе ФСБ.

Судья Ольга Величко признала всех троих виновными по ч. 4 ст. 159 УК РФ (мошенничество в особо крупном размере). Спасскому и Парахину назначено по 7,5 лет лишения свободы и штраф по 800 тыс. рублей. Лаврентьев получил 6,5 лет и штраф 600 тыс. рублей. Отбывать наказание они будут в колонии общего режима.

Адвокаты осуждённых заявили «Коммерсанту», что планируют обжаловать приговор.