Разработчики Apache предупредили, что исправить 0-day уязвимость CVE-2021-41773 не удалось с первого раза. Напомню, что об этой проблеме стало известно на прошлой неделе: сообщалось, что уязвимость уже используют хакеры, и она позволяет осуществить path traversal атаку, сопоставив URL-адреса с файлами за пределами ожидаемого корня документа. В итоге такая атака могла привести к утечке CGI-скриптов и не только.
Но вскоре после выхода патча ИБ-специалисты заговорили о том, что проблема может оказаться куда серьезнее, хотя ее исходно классифицировали неправильно. Специалисты сообщали, что баг также можно применяться для удаленного выполнения произвольного кода, а исправление, подготовленное Apache, может оказаться неэффективным.
Как выяснилось, эксперты были правы: разработчики Apache обновили свой HTTP веб-сервер до версии 2.4.51 и сообщили, что предыдущий патч для CVE-2021-41773 действительно был неполным. Новый вектор атаки, о котором предупреждали исследователи, получил собственный идентификатор — CVE-2021-42013.
По данным IoT-поисковика Shodan, количество серверов, на которых работает Apache версии 2.4.50, в настоящее время составляет около 12 000, но только около 1600 были обновлены до последней версии 2.4.51. Увы, этот факт не остался без внимания злоумышленников, и US-CERT предупреждает, что проблему уже активно используют хакеры.
? Active scanning of Apache HTTP Server CVE-2021-41773 & CVE-2021-42013 is ongoing and expected to accelerate, likely leading to exploitation. Please patch immediately if you haven’t already—this cannot wait until after the weekend. Read more: https://t.co/4Ljk730wz4 pic.twitter.com/TYPiXhOluf
— US-CERT (@USCERT_gov) October 7, 2021