Useita haavoittuvuuksia Apache-verkkopalvelimessa voi mahdollistaa koodin etätoteutuksen

MS-ISAC ADVISORY NUMBER:

2020-108

DATE(S) ISSUED:

08/07/2020

OVERVIEW:

Apache-verkkopalvelimesta on löydetty useita haavoittuvuuksia, joista vakavin voi mahdollistaa koodin etätoteutuksen. Apache-verkkopalvelin on Apache-ohjelmistosäätiön kehittämä ilmainen avoimen lähdekoodin työkalu, jota käytetään verkkosivustojen isännöintiin. Näiden haavoittuvuuksien vakavimman version onnistunut hyödyntäminen voi antaa hyökkääjälle mahdollisuuden suorittaa etäkoodia kyseisen sovelluksen yhteydessä. Sovellukseen liittyvistä oikeuksista riippuen hyökkääjä voisi tarkastella, muuttaa tai poistaa tietoja. Jos tämä sovellus on määritetty siten, että sillä on vähemmän käyttäjäoikeuksia järjestelmässä, näiden haavoittuvuuksien vakavimman version hyväksikäytöllä voi olla vähäisempi vaikutus kuin jos se on määritetty järjestelmänvalvojan oikeuksin.

HAAVOITUSTEN TUNNISTAMINEN:

Tällä hetkellä ei ole raportteja siitä, että näitä haavoittuvuuksia olisi hyödynnetty luonnossa.

SEURAAVAT JÄRJESTELMÄT:

  • Apachen versiot 2.4.43 ja aikaisemmat

RISKIT:

Hallinto:
  • Suuret ja keskisuuret hallintoyksiköt: KORKEA
  • Pienet julkisyhteisöt: Keskisuuri
Yritykset:
  • Suuret ja keskisuuret yritykset: KORKEA
  • Pienet liiketoimintayksiköt: LOW

TEKNINEN YHTEENVETO:

Apache-verkkopalvelimesta on löydetty useita haavoittuvuuksia, joista vakavin voi mahdollistaa koodin etätoteutuksen. Nämä haavoittuvuudet voidaan laukaista, kun erityisesti muotoiltuja paketteja lähetetään käsiteltäväksi kyseiselle verkkopalvelimelle. Haavoittuvuuksien yksityiskohdat ovat seuraavat:

  • Mahdollinen etäkoodin suorituksen haavoittuvuus mod_uwsgi-moduulin puskurin ylivuodon vuoksi. (CVE-2020-11984)
  • Palvelunestohaavoittuvuus, joka laukeaa, kun jäljitys/debuggaus on käytössä. (CVE-2020-11993)
  • Palvelunestohaavoittuvuus, joka aiheutuu, kun PUSH-paketti lähetetään ’Cache-Digest’-otsikkoa käyttäen. (CVE-2020-9490)

Tämän vakavimman haavoittuvuuden onnistunut hyväksikäyttö voi antaa hyökkääjälle mahdollisuuden suorittaa etäkoodia kyseisen sovelluksen kontekstissa. Sovellukseen liittyvistä oikeuksista riippuen hyökkääjä voisi tarkastella, muuttaa tai poistaa tietoja. Jos tämä sovellus on konfiguroitu siten, että sillä on järjestelmässä vähemmän käyttäjäoikeuksia, näistä haavoittuvuuksista vakavimman hyväksikäytön vaikutus voisi olla vähäisempi kuin jos se olisi konfiguroitu järjestelmänvalvojan oikeuksin.

SUOSITUKSET:

Suositamme seuraavia toimia:

  • Käytä Apachen toimittamia päivityksiä haavoittuviin järjestelmiin välittömästi asianmukaisen testauksen jälkeen.
  • Käynnistä kaikki ohjelmistot ei-oikeutettuna käyttäjänä (käyttäjänä, jolla ei ole järjestelmänvalvojan oikeuksia) onnistuneen hyökkäyksen vaikutusten vähentämiseksi.
  • Konfiguroi sovellus Apachen ehdottamalla tavalla haavoittuvuuden lieventämiseksi.