Ранее на этой неделе разработчики Apache Software Foundation выпустили патч для устранения 0-day уязвимости CVE-2021-41773 в своем HTTP веб-сервере. Уже на момент выхода патчей баг активно эксплуатировали хакеры, и сообщалось, что уязвимость позволяет злоумышленникам осуществить path traversal атаку, сопоставив URL-адреса с файлами за пределами ожидаемого корня документа. В итоге такая атака могла привести к утечке CGI-скриптов и не только.

Баг затрагивает только веб-серверы Apache, работающие под управлением версии 2.4.49, и уязвимый сервер должен иметь отключенный параметр «require all denied» (к сожалению, это конфигурация по умолчанию).

Как мы уже сообщали ранее, ряд исследователей смогли воспроизвести уязвимость и быстро опубликовали несколько экспериментальных эксплоитов в Twitter и на GitHub. Но теперь издание Bleeping Computer пишет, что, во время разработки эксплоитов, специалисты обнаружили один немаловажный нюанс: уязвимость может применяться не только для чтения произвольных файлов, но и для выполнения произвольного кода.

Первым это заметил ИБ-исследователь Hacker Fantastic, который сообщил, что проблема превращается в RCE в Linux-системах, если сервер настроен на поддержку CGI через mod_cgi. Если злоумышленник сможет загрузить файл с помощью path traversal эксплоита и установит разрешения для выполнения файла, он получит возможность выполнять команды с теми же привилегиями, что и процесс Apache.

Другие эксперты, включая аналитика CERT Уилла Дорманна и ИБ-исследователя Тима Брауна, сообщают, что выполнение кода возможно и на машинах под управлением Windows. Теперь специалисты полагают, что CVE-2021-41773 могли исходно классифицировать неправильно и, на самом деле, проблема серьезнее, чем сочли разработчики.

«Я не сделал ничего умного, просто воспроизвел публично доступный PoC-эксплоит в Windows и обнаружил, что запускается calc.exe, — рассказал журналистам Дорманн. — Конечно, Apache должен быть уязвимой версии 2.4.49, mod-cgi должен быть включен, а также должно быть отключено Require all denied. Но если все условия выполнены, тогда CVE-2021-41773 будет работать как RCE».

 

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии