Apache Software Foundation ha lanzado la versión 2.4.50 del servidor web HTTP para abordar dos vulnerabilidades, una de las cuales es un ataque directorio transversal (path traversal attack) explotada activamente.
La vulnerabilidad de día cero explotada activamente identificada como CVE-2021-41773, permite a los actores malintencionados acceder a archivos fuera del directorio raíz, manipulando la URL.
Los ataques directorio transversal implican el envío de solicitudes para acceder a directorios de servidores sensibles o de back-end que deberían estar fuera de su alcance. Normalmente, estas solicitudes se bloquean, pero en este caso, los filtros se omiten mediante el uso de caracteres codificados (ASCII) para las URL. Además, las vulnerabilidades de esta falla pueden dar lugar a la filtración de la fuente de los archivos interpretados, como los scripts CGI. Igualmente podría derivar en la filtración de archivos de configuración u otros que puedan contener información sensible.
Para que el ataque funcione, el objetivo debe ejecutar Apache HTTP Server 2.4.49, y también debe tener deshabilitado el parámetro de control de acceso «requerir todo denegado». Se debe tener en cuenta que esta es la configuración predeterminada .
Las versiones anteriores de Apache Server o las que tienen una configuración de acceso diferente no son vulnerables a esta falla.
La segunda vulnerabilidad identificada como CVE-2021-41524, se debe a que no se detectó ningún puntero de referencia durante el procesamiento de solicitudes HTTP/2. Esta falla permite que un atacante realice un ataque de denegación de servicio (DoS) en el servidor comprometido.
Esta falla también existe solo en la versión 2.4.49 del servidor Apache, pero no se tiene conocimiento de explotación activa.
La explotación exitosa de estas vulnerabilidades podrían permitir a un atacante acceder a archivos fuera de la raíz del documento o interrumpir el servicio.
Se recomienda actualizar inmediatamente a la versión 2.4.50 del Servidor Apache.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2022/02/BOL-CERT-PY-2021-29_Vulnerabilidades_criticas_en_Apache_Server.pdf
- https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-41773
- https://www.bleepingcomputer.com/news/security/apache-fixes-zero-day-vulnerability-exploited-in-the-wild-patch-now/