Организация Apache Software Foundation выпустила новую версию HTTP Web Server под номером 2.4.50. С её выходом разработчики устранили две уязвимости, одна из которых активно используется в кибератаках.
Учитывая, насколько популярен кросс-платформенный веб-сервер от Apache, атаки с эксплуатацией 0-day могут иметь очень серьёзный размах. Уязвимость, которой присвоили идентификатор CVE-2021-41773, позволяет атакующему замапить URL на сторонние файлы. Другими словами, это брешь вида Path Traversal.
Для успешной эксплуатации злоумышленнику нужно отравить бэкенду запросы на доступ. Как правило, такие запросы блокируются, однако в этом случае защитные механизмы можно обойти с помощью закодированных знаков в URL. Такая атака может привести к утечке источника CGI-скриптов.
Атака сработает в том случае, если у жертвы запущен Apache HTTP Server 2.4.49 и при этом отключён один из параметров контроля доступа. Фактически уязвимой считается конфигурация по умолчанию, что усугубляет ситуацию.
Более старые версии веб-сервера не страдают от этой 0-day. Тем не менее специальный поисковик Shodan зафиксировал более сотни тысяч потенциально дырявых установок в Сети
Всем администраторам рекомендуется срочно установить вышедшие патчи, чтобы защитить свои серверы от кибератак злоумышленников.
