Mark J. Cox, uno de los miembros fundadores de Apache Software Foundation y el proyecto OpenSSL, publicó hoy un tweet para advertir a los usuarios sobre una falla importante recientemente descubierta en el software Apache HTTP Server.

El servidor web Apache es uno de los servidores web de código abierto más populares y ampliamente utilizados en el mundo, que alimenta casi el 40 por ciento de toda Internet.

La vulnerabilidad, identificada como CVE-2019-0211 , fue descubierta por Charles Fol , un ingeniero de seguridad de la firma de seguridad Ambionics, y parcheado por los desarrolladores de Apache en la última versión 2.4.39 de su software lanzado hoy.

La falla afecta a las versiones 2.4.17 a 2.4.38 de Apache HTTP Server y podría permitir que cualquier usuario con menos privilegios ejecute código arbitrario con privilegios de raíz en el servidor de destino.

«En las versiones 2.4.17 a 2.4.38 de Apache HTTP Server 2.4, con MPM event, worker o prefork, el código que se ejecuta en procesos o subprocesos secundarios menos privilegiados (incluidos los scripts ejecutados por un intérprete de scripts en proceso) podría ejecutar código arbitrario con Los privilegios del proceso principal (generalmente root) mediante la manipulación del cuadro de indicadores. Los sistemas que no son de Unix no se ven afectados «, señala el aviso .

Aunque el investigador aún no ha publicado un código de explotación de prueba de concepto (PoC) para esta falla, Charles publicó hoy una publicación en el blog que explica cómo un atacante puede explotar esta falla en 4 pasos antes mencionados:

  1. Obtener acceso R / W en un proceso de trabajo,
  2. Escribe una estructura falsa prefork_child_bucket en el SHM,
  3. Haga que all_buckets [bucket] apunte a la estructura,
  4. Espere a las 6:25 AM para obtener una llamada de función arbitraria.

Según Cox, la vulnerabilidad es más preocupante para los servicios de alojamiento web compartido, donde los clientes malintencionados o un pirata informático con capacidad para ejecutar scripts PHP o CGI en un sitio web pueden hacer uso de la falla para obtener acceso de root en el servidor, lo que finalmente compromete a todos los demás. Sitios web alojados en el mismo servidor.

Además de esto, la última versión de Apache httpd 2.4.39 también corrige tres problemas de gravedad bajos y otros dos importantes.

La segunda falla importante (CVE-2019-0217) podría permitir que «un usuario con credenciales válidas se autentique utilizando otro nombre de usuario, omitiendo las restricciones de control de acceso configuradas».

La tercera vulnerabilidad es un bypass de control de acceso mod_ssl (CVE-2019-0215), «un error en mod_ssl al usar la verificación del certificado de cliente por ubicación con TLSv1.3 permitió a un cliente que admite la Autenticación de Apretón de Manos para eludir las restricciones de control de acceso configuradas».

Hemos visto cómo las revelaciones previas de fallas graves en los marcos de las aplicaciones web han dado lugar a la publicación de explotaciones PoC en un día y la explotación en la naturaleza , poniendo en riesgo la infraestructura crítica y los datos de los clientes.

Por lo tanto, se recomienda encarecidamente a los servicios de alojamiento web, organizaciones que administran sus propios servidores y administradores de sitios web que actualicen sus instancias HTTP de Apache a las últimas versiones lo antes posible.

Fuente: thehackernews.com

Compartir