Апатч Сервер HTTP и текущие уязвимости
Сервер Apache HTTP играет ключевую роль в размещении веб-приложений по всему миру. Недавно обнаружены две серьезные уязвимости — CVE-2024-40725 и CVE-2024-40898, которые стали причиной обеспокоенности в различных отраслях.
Воздействие на организации
Эти уязвимости представляют собой серьёзный риск для организаций, которые используют серверы Apache HTTP, особенно версии с 2.4.0 по 2.4.61. Эксперты отмечают, что свыше 7.6 миллиона инстанций находятся под угрозой потенциальных атак.
Описание уязвимостей
В отчете CYFIRMA указано, что уязвимость CVE-2024-40725 влияет на модуль mod_proxy, в то время как CVE-2024-40898 направлена против модуля mod_ssl.
Атаки на перехват HTTP-запросов и обход аутентификации SSL
Атаки на перехват HTTP-запросов возникают, когда злоумышленник отправляет несколько специально сформированных HTTP-запросов, которые сервер неправильно обрабатывает из-за некорректной интерпретации заголовков HTTP. Это позволяет злоумышленнику обходить проверки безопасности. В случае CVE-2024-40725, неправильная настройка директивы ProxyPass подвергает сервер атакам такого типа.
Когда включается ProxyPass с определёнными правилами перенаправления URL, это может привести к атакам на перехват HTTP-запросов. Злоумышленники могут воспользоваться этой уязвимостью для получения несанкционированного доступа к закрытым частям сервера, раскрытия конфиденциальной информации или захвата активных пользовательских сессий.
Уязвимость CVE-2024-40898 обусловлена неправильной проверкой аутентификации SSL клиента. Если параметр SSLVerifyClient настроен некорректно, злоумышленники могут обойти механизм аутентификации SSL. Это позволяет им получить доступ к конфиденциальным системам без необходимости иметь валидный клиентский сертификат, что ставит под угрозу безопасность организаций.
Распространение и последствия
Наличие доказательства концепции эксплойтов для обеих уязвимостей облегчает злоумышленникам атаку на организации, которые ещё не применили необходимые патчи или обновления конфигураций. Эти инструменты позволяют отправлять специально сформированные SSL-запросы на уязвимые серверы, что может привести к несанкционированному доступу.
На форумах в Даркнете уже обсуждаются эти уязвимости, где участники активно обмениваются техническими деталями, информацией о целях и эксплойтах, что свидетельствует о растущем интересе к использованию данных уязвимостей. IP-адреса уязвимых систем активно распространяются, что увеличивает срочность принятия мер.
Меры по снижению рисков
Для снижения рисков организациям необходимо немедленно применить обновления и пересмотреть конфигурации систем. Без надлежащих мер, затронутые серверы могут стать целью атак, что угрожает конфиденциальности данных и целостности критичных систем.
Шаги по устранению угроз:
-
Обновление сервера Apache HTTP: нужно установить последнюю версию 2.4.62 или более позднюю, чтобы устранить обе уязвимости и предотвратить их эксплуатацию.
-
Анализ конфигураций: необходимо тщательно пересмотреть настройки серверов, особенно внутри модулей mod_proxy и mod_ssl. Безопасно настроенная директива ProxyPass и правильное конфигурирование SSLVerifyClient уменьшат риск атак на перехват HTTP-запросов и обход аутентификации.
-
Использование Web Application Firewall (WAF): установка WAF позволит отсекать вредоносный HTTP- и SSL-трафик, предоставляя дополнительный уровень защиты от попыток атак.
- Регулярные оценки безопасности: проведение регулярных оценок безопасности, включая сканирование уязвимостей, поможет своевременно выявлять и устранять конфигурационные ошибки или новые уязвимости.
Особенно уязвимы организации в таких секторах, как финансы, здравоохранение, правительство, розница и технологии, потому что они обрабатывают конфиденциальные данные. Географически, высокорисковыми регионами считаются США, Германия, Индия, Нидерланды и Великобритания из-за широкого использования сервера Apache HTTP.
Эти действия помогут защитить критические системы и поддерживать высокий уровень безопасности.
Источник: TechRadar
