Detectar CVE-2021-41773: Vulnerabilidad de día cero de recorrido de ruta en Apache HTTP Server
Tabla de contenidos:
La semana pasada, investigadores de seguridad identificaron una grave vulnerabilidad que afecta al Servidor HTTP de Apache. La falla (CVE-2021-41773) permite a adversarios no autorizados acceder a los datos sensibles almacenados en el servidor web a través de un ataque de recorrido de directorios. La vulnerabilidad atrajo de inmediato la atención de los hackers siendo masivamente explotada en la naturaleza a pesar del parche lanzado el 5 de octubre de 2021.
Descripción de CVE-2021-41773
La vulnerabilidad ocurrió después de que se cambiaron los ajustes de configuración de normalización de rutas con el lanzamiento del Servidor HTTP de Apache v. 2.4.49. Como resultado, los Servidores HTTP de Apache quedaron expuestos a ataques de recorrido de directorios, lo que permitía a los hackers mapear URLs a archivos fuera del directorio raíz de documentos esperado. Los actores de amenazas podían enviar solicitudes específicas para saltar a los directorios de servidor o backend sensibles. Dichos archivos generalmente están fuera del alcance de las partes no autorizadas, sin embargo, la falla proporciona la manera de superar las protecciones y filtros al aprovechar los caracteres codificados (ASCII) para las URLs. El aviso de Apache detalla que CVE-2021-41773 también puede conducir a la fuga del código fuente de archivos interpretados como scripts CGI.
La única limitación para que los atacantes exploten esta vulnerabilidad es el hecho de que el Servidor HTTP de Apache 2.4.49 objetivo debe tener la configuración de control de acceso «require all denied» desactivada. Sin embargo, esta suele ser la configuración predeterminada.
Actualmente, una búsqueda en Shodan indica más de 100,000 instalaciones del Servidor HTTP de Apache v.2.4.49 expuestas en línea, con la mayoría de ellas esperadas ser vulnerables.
Detección y Mitigación de CVE-2021-41773
En vista de la explotación masiva en la naturaleza, se insta a los administradores a actualizar su software lo antes posible. Las soluciones y el aviso para esta vulnerabilidad fueron publicados urgentemente por Apache el 5 de octubre de 2021.
Para detectar la actividad maliciosa asociada con el día cero de CVE-2021-41773, puede descargar una regla Sigma gratuita disponible en la plataforma SOC Prime.
Intento de Explotación CVE-2021-41773
La detección tiene traducciones para las siguientes plataformas de ANALÍTICA DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Además, la regla está mapeada a la metodología MITRE ATT&CK abordando las tácticas de Acceso Inicial y la técnica de Explotación de Aplicaciones Públicas (t1190).
¿Buscando formas de abordar sus casos de uso personalizados, mejorar la detección de amenazas y optimizar las capacidades de caza con una solución única rentable? Explore la nueva plataforma de SOC Prime recientemente lanzada que atiende todas sus necesidades de seguridad en un solo espacio diseñado para hacer su experiencia de detección de amenazas más rápida, simple e inteligente. ¿Quiere unirse a nuestra iniciativa de crowdsourcing y convertirse en uno de nuestros contribuyentes de contenido? ¡Comience con el primer Programa de Recompensas por Amenazas de la industria!
