Erkennung von CVE-2021-41773: Directory-Traversal-Zero-Day im Apache HTTP Server
Inhaltsverzeichnis:
Letzte Woche identifizierten Sicherheitsforscher ein schweres Sicherheitsloch, das den Apache HTTP Server betrifft. Die Schwachstelle (CVE-2021-41773) ermöglicht es unbefugten Angreifern, auf die im Webserver gespeicherten sensiblen Daten über einen Path-Traversal-Angriff zuzugreifen. Die Schwachstelle zog sofort die Aufmerksamkeit von Hackern auf sich und wurde massiv ausgenutzt, obwohl der Patch am 5. Oktober 2021 veröffentlicht wurde.
Beschreibung von CVE-2021-41773
Die Schwachstelle trat auf, nachdem die Path-Normalisierungs-Konfigurationseinstellungen mit der Veröffentlichung von Apache HTTP Server v. 2.4.49 geändert wurden. Infolgedessen waren Apache HTTP Server Path-Traversal-Angriffen ausgesetzt, die es Hackern ermöglichen, URLs auf Dateien außerhalb des erwarteten Dokumentstamms zuzuordnen. Bedrohungsakteure konnten bestimmte Anfragen senden, um in das Backend oder in sensible Serververzeichnisse zu gelangen. Solche Dateien sind normalerweise für Unbefugte unerreichbar, jedoch bietet die Schwachstelle die Möglichkeit, die Schutzmaßnahmen und Filter zu überwinden, indem die codierten Zeichen (ASCII) für die URLs verwendet werden. Die Apache-Beratung beschreibt , dass CVE-2021-41773 auch zum Leck der Quelle interpretierter Dateien wie CGI-Skripte führen kann.
Die einzige Einschränkung für die Angreifer, um diese Schwachstelle auszunutzen, besteht darin, dass der angegriffene Apache HTTP Server 2.4.49 die Zugriffskontrolleinstellung „require all denied“ deaktiviert haben muss. Dies ist jedoch normalerweise die Standardeinstellung.
Derzeit zeigt eine Shodan-Suche über 100.000 Apache HTTP Server v.2.4.49 Installationen online an, von denen die Mehrheit als verwundbar angesehen wird. over 100,000 Apache HTTP Server v.2.4.49 installations exposed online, with the majority of them expected to be vulnerable.
Erkennung und Minderung von CVE-2021-41773
Angesichts der massiven Ausnutzung in der freien Wildbahn werden Administratoren aufgefordert, ihre Software so schnell wie möglich zu aktualisieren. Die Korrekturen und die Beratung für diese Schwachstelle wurden dringend von Apache am 5. Oktober 2021 veröffentlicht.
Um die mit dem CVE-2021-41773-Zero-Day verbundene bösartige Aktivität zu erkennen, können Sie eine kostenlose Sigma-Regel herunterladen, die auf der SOC Prime-Plattform verfügbar ist.
CVE-2021-41773-Ausnutzungsversuch
Die Erkennung verfügt über Übersetzungen für die folgenden SIEM-Sicherheitsanalytik-Plattformen: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Außerdem ist die Regel der MITRE ATT&CK-Methodik zugeordnet, die die Taktiken des Initialzugriffs und die Technik Exploit Public-Facing Applications (t1190) anspricht.
Suchen Sie nach Möglichkeiten, Ihre benutzerdefinierten Anwendungsfälle zu adressieren, die Bedrohungserkennung zu verbessern und die Jagdfähigkeiten mit einer kosteneffizienten Lösung zu optimieren? Entdecken Sie die neu freigegebene Plattform von SOC Prime, die all Ihre Sicherheitsbedürfnisse an einem einzigen Ort erfüllt und darauf ausgelegt ist, Ihre Bedrohungserkennungserfahrung schneller, einfacher und intelligenter zu machen. Möchten Sie sich unserer Crowdsourcing-Initiative anschließen und einer unserer Inhaltsbeiträger werden? Beginnen Sie mit dem branchenweit ersten Threat Bounty Program!
