Хакеры активно эксплуатируют уязвимость подделки запроса на стороне сервера в HTTP-сервере Apache
01/12/21
Специалисты Федерального управления по информационной безопасности Германии и компании Cisco предупредили о кибератаках, в ходе которых преступники эксплуатируют уязвимость ( CVE-2021-40438 ) в HTTP-сервере Apache.
Проблема представляет собой уязвимость подделки запроса на стороне сервера (SSRF), которая может быть использована против web-серверов httpd (The Apache HTTP Server) с включенным модулем mod_proxy. Злоумышленник может проэксплуатировать уязвимость путем отправки специально сформированного запроса и заставить модуль перенаправить запрос на произвольный исходный сервер.
Проблема была обнаружена группой безопасности Apache HTTP при исследовании другой уязвимости. Уязвимость затрагивает версии сервера 2.4.48 и ранее и была исправлена в середине сентября нынешнего года с выпуском версии 2.4.49.
«Отправляя специально созданный запрос, злоумышленники могут заставить включенный модуль mod_proxy направлять соединения на исходный сервер по своему выбору, тем самым похищая секреты (метаданные или ключи инфраструктуры) или получая доступ к другим внутренним серверам», — пояснили эксперты из компании Fastly.
По словам специалистов, уязвимые версии httpd были запущены на более чем 500 тыс. серверах. Поскольку облачные сервисы, такие как AWS, Microsoft Azure и Google Cloud Platform, обеспечивают защиту от данных кибератак, уязвимость в основном затрагивает организации, самостоятельное управляющие httpd-серверами.
В Сети появилось несколько экспериментальных PoC-кодов для эксплуатации уязвимости, и Федеральное управление по информационной безопасности Германии и Cisco зафиксировали по крайней мере одну атаку, использующую данную проблему.