Novo bug do Apache Web Server ameaça a segurança de hosts da Web compartilhados

Mark J Cox, um dos membros fundadores da Apache Software Foundation e do projeto OpenSSL, publicou ontem um tweet alertando os usuários sobre uma falha importante descoberta recentemente no software Apache HTTP Server.

O servidor web Apache é um dos servidores web de fonte aberta mais populares e amplamente utilizados no mundo, que alimenta quase 40% de toda a Internet.

A vulnerabilidade, identificada como CVE-2019-0211 , foi descoberta por Charles Fol , engenheiro de segurança da Ambionics Security, e corrigida pelos desenvolvedores do Apache na última versão 2.4.39 do seu software lançado hoje.

A falha afeta as versões 2.4.17 a 2.4.38 do Apache HTTP Server e pode permitir que qualquer usuário com menos privilégios execute código arbitrário com privilégios de root no servidor de destino.

“Nas versões 2.4.17 a 2.4.38 do Apache HTTP Server 2.4, com o MPM event, worker ou prefork, o código em execução em processos Children ou threads menos privilegiados (incluindo scripts executados por um interpretador de scripts em processo) poderia executar código arbitrário com os privilégios do processo master (geralmente root), manipulando todo o sistema. Os sistemas Not Unix não são afetados “, diz o comunicado .

Embora o pesquisador ainda não tenha lançado um código de exploração de Prova de Conceito (PoC) funcional para essa falha, Charles publicou ontem uma postagem no blog explicando como um invasor pode explorar essa falha em 4 etapas antes mencionadas:

  • Obter acesso de R / W em um processo de trabalho
  • Escrevendo uma estrutura prefork_child_bucket falsa no SHM,
  • Fazendo all_buckets [bucket] apontando para a estrutura,
  • Aguardando 6h25 para obter uma chamada de função arbitrária.

De acordo com Cox, a vulnerabilidade é mais preocupante para serviços de hospedagem compartilhada, onde clientes mal-intencionados ou hackers com capacidade de executar scripts PHP ou CGI em um site podem usar a falha para obter acesso root no servidor, comprometendo todos os outros. sites hospedados no mesmo servidor.

Além disso, a versão mais recente do Apache httpd 2.4.39 também corrige três problemas graves e dois outros problemas importantes de gravidade.

A segunda falha importante (CVE-2019-0217) pode permitir que “um usuário com credenciais válidas autentique usando outro nome de usuário, ignorando as restrições de controle de acesso configuradas”.

A terceira vulnerabilidade é um bypass de controle de acesso mod_ssl (CVE-2019-0215), “um bug no mod_ssl ao usar a verificação de certificado de cliente por local com o TLSv1.3 permitia que um cliente que suporte Autenticação pós-handshake ignorasse as restrições de controle de acesso configuradas.”

Anteriormente as falhas graves em estruturas de aplicativos da Web, resultaram na publicação de exploits do PoC em um dia e na exploração na natureza , colocando em risco a infraestrutura crítica e os dados dos clientes.

Portanto, os serviços de hospedagem na Web, as organizações que gerenciam seus próprios servidores e administradores de sites são altamente aconselhados a atualizar suas instâncias HTTP do Apache para as versões mais recentes o mais rápido possível.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.