Useita haavoittuvuuksia Apache-verkkopalvelimessa voi mahdollistaa koodin etätoteutuksen

BY admin

| 24 tammikuun, 2022

MS-ISAC ADVISORY NUMBER:
DATE(S) ISSUED:
OVERVIEW:
HAAVOITUSTEN TUNNISTAMINEN:
SEURAAVAT JÄRJESTELMÄT:
RISKIT:
Hallinto:
Yritykset:
TEKNINEN YHTEENVETO:
SUOSITUKSET:

MS-ISAC ADVISORY NUMBER:

2020-108

DATE(S) ISSUED:

08/07/2020

OVERVIEW:

Apache-verkkopalvelimesta on löydetty useita haavoittuvuuksia, joista vakavin voi mahdollistaa koodin etätoteutuksen. Apache-verkkopalvelin on Apache-ohjelmistosäätiön kehittämä ilmainen avoimen lähdekoodin työkalu, jota käytetään verkkosivustojen isännöintiin. Näiden haavoittuvuuksien vakavimman version onnistunut hyödyntäminen voi antaa hyökkääjälle mahdollisuuden suorittaa etäkoodia kyseisen sovelluksen yhteydessä. Sovellukseen liittyvistä oikeuksista riippuen hyökkääjä voisi tarkastella, muuttaa tai poistaa tietoja. Jos tämä sovellus on määritetty siten, että sillä on vähemmän käyttäjäoikeuksia järjestelmässä, näiden haavoittuvuuksien vakavimman version hyväksikäytöllä voi olla vähäisempi vaikutus kuin jos se on määritetty järjestelmänvalvojan oikeuksin.

HAAVOITUSTEN TUNNISTAMINEN:

Tällä hetkellä ei ole raportteja siitä, että näitä haavoittuvuuksia olisi hyödynnetty luonnossa.

SEURAAVAT JÄRJESTELMÄT:

Apachen versiot 2.4.43 ja aikaisemmat

RISKIT:

Hallinto:

Suuret ja keskisuuret hallintoyksiköt: KORKEA
Pienet julkisyhteisöt: Keskisuuri

Yritykset:

Suuret ja keskisuuret yritykset: KORKEA
Pienet liiketoimintayksiköt: LOW

TEKNINEN YHTEENVETO:

Apache-verkkopalvelimesta on löydetty useita haavoittuvuuksia, joista vakavin voi mahdollistaa koodin etätoteutuksen. Nämä haavoittuvuudet voidaan laukaista, kun erityisesti muotoiltuja paketteja lähetetään käsiteltäväksi kyseiselle verkkopalvelimelle. Haavoittuvuuksien yksityiskohdat ovat seuraavat:

Mahdollinen etäkoodin suorituksen haavoittuvuus mod_uwsgi-moduulin puskurin ylivuodon vuoksi. (CVE-2020-11984)
Palvelunestohaavoittuvuus, joka laukeaa, kun jäljitys/debuggaus on käytössä. (CVE-2020-11993)
Palvelunestohaavoittuvuus, joka aiheutuu, kun PUSH-paketti lähetetään ’Cache-Digest’-otsikkoa käyttäen. (CVE-2020-9490)

Tämän vakavimman haavoittuvuuden onnistunut hyväksikäyttö voi antaa hyökkääjälle mahdollisuuden suorittaa etäkoodia kyseisen sovelluksen kontekstissa. Sovellukseen liittyvistä oikeuksista riippuen hyökkääjä voisi tarkastella, muuttaa tai poistaa tietoja. Jos tämä sovellus on konfiguroitu siten, että sillä on järjestelmässä vähemmän käyttäjäoikeuksia, näistä haavoittuvuuksista vakavimman hyväksikäytön vaikutus voisi olla vähäisempi kuin jos se olisi konfiguroitu järjestelmänvalvojan oikeuksin.

SUOSITUKSET:

Suositamme seuraavia toimia:

Käytä Apachen toimittamia päivityksiä haavoittuviin järjestelmiin välittömästi asianmukaisen testauksen jälkeen.
Käynnistä kaikki ohjelmistot ei-oikeutettuna käyttäjänä (käyttäjänä, jolla ei ole järjestelmänvalvojan oikeuksia) onnistuneen hyökkäyksen vaikutusten vähentämiseksi.
Konfiguroi sovellus Apachen ehdottamalla tavalla haavoittuvuuden lieventämiseksi.