Se ha descubierto una vulnerabilidad crítica en el servidor HTTP Apache que permite el acceso a los scripts alojados en otros directorios y que normalmente deberían estar protegidos. Se ha lanzado una nueva actualización para evitar la ejecución de código arbitrario en el servidor web vulnerable.

Apache Software Foundation lanzó recientemente la versión 2.4.51 del servidor web Apache HTTP Server para abordar algunas vulnerabilidades de seguridad graves.

En los últimos días, se ha solucionado el problema de seguridad identificado como CVE-2021-41773: que permitía que cualquier script malicioso ejecutado por el servidor web fuese capaz de comprobar la existencia de otros scripts alojados en rutas no accesibles.

Los llamados ataques de recorrido de ruta permiten acceder a recursos que no están presentes en la carpeta raíz del script.

Normalmente, estas solicitudes están bloqueadas, pero en el caso del error en cuestión, los filtros se omiten utilizando una codificación de caracteres en particular en el nivel de la URL.

En algunos casos, el ataque podría permitir que un atacante incluso lea el origen de los archivos (es decir, un script CGI).

Para que el ataque se lleve a cabo, el servidor web vulnerable debe funcionar con Apache HTTP Server versión 2.4.49 con el parámetro "requerir todo denegado" deshabilitado (desafortunadamente, esta es la configuración predeterminada).

Las versiones anteriores de Apache o las que tienen una configuración diferente no son vulnerables.

Una simple comprobación con el motor de búsqueda Shodan muestra que hay decenas de miles de sistemas basados ​​en Apache HTTP Server expuestos en Internet que sufren la vulnerabilidad.

Al poco tiempo, se descubrió que la vulnerabilidad en cuestión también se puede aprovechar para ejecutar código malicioso en el servidor web Apache. Es esencial la presencia y carga real del módulo mod_cgi con el parámetro "requerir todo denegado" deshabilitado.

Apache confirma que el parche lanzado en los últimos días no es suficiente para proteger adecuadamente los servidores y por lo tanto es necesario actualizar a la versión 2.4.51. Se anima a los administradores del sistemas a actualizar la versión de Apache.

La instalación de la nueva versión también permite evitar posibles ataques DoS basados ​​en una gestión imperfecta de algunas solicitudes HTTP/2.


Fuente: Apache HTTP Server 2.4 vulnerabilities