Détecter CVE-2021-41773 : Zero-Day de Traversée de Chemin dans le Serveur HTTP Apache
Table des matières :
La semaine dernière, des chercheurs en sécurité ont identifié une faille de sécurité sévère affectant le serveur Apache HTTP. La faille (CVE-2021-41773) permet à des adversaires non autorisés d’accéder aux données sensibles stockées sur le serveur web via une attaque de type traversée de chemin. La vulnérabilité a immédiatement attiré l’attention des hackers, étant massivement exploitée dans la nature malgré le correctif publié le 5 octobre 2021.
Description de CVE-2021-41773
La vulnérabilité est survenue après que les paramètres de configuration de normalisation de chemin ont été modifiés avec la sortie de la version 2.4.49 du serveur Apache HTTP. En conséquence, les serveurs Apache HTTP sont devenus exposés à des attaques de traversée de chemin permettant aux hackers de mapper des URLs vers des fichiers en dehors de la racine de documents attendue. Les acteurs de la menace peuvent envoyer des requêtes spécifiques pour pénétrer dans le backend ou des répertoires sensibles du serveur. Ces fichiers sont généralement hors de portée pour les parties non autorisées, cependant, la faille fournit le moyen de contourner les protections et les filtres en utilisant les caractères encodés (ASCII) pour les URLs. L’avis de sécurité Apache détaille que CVE-2021-41773 peut également conduire à la fuite du code source de fichiers interprétés comme des scripts CGI.
La seule limitation pour les attaquants d’exploiter cette vulnérabilité est que le serveur Apache HTTP ciblé en version 2.4.49 doit avoir le paramètre de contrôle d’accès « require all denied » désactivé. Cependant, ceci est généralement la configuration par défaut.
Actuellement, une recherche Shodan indique plus de 100 000 installations de serveur Apache HTTP v.2.4.49 exposées en ligne, avec la plupart d’entre elles qui devraient être vulnérables.
Détection et atténuation de CVE-2021-41773
En vue de l’exploitation massive dans la nature, les administrateurs sont exhortés à mettre à jour leur logiciel dès que possible. Les correctifs et avis pour cette vulnérabilité ont été publiés en urgence par Apache le 5 octobre 2021.
Pour détecter l’activité malveillante associée à la vulnérabilité jour zéro CVE-2021-41773, vous pouvez télécharger une règle Sigma gratuite disponible sur la plateforme SOC Prime.
Tentative d’exploitation de CVE-2021-41773
La détection dispose de traductions pour les plateformes SIEM SECURITY ANALYTICS suivantes : Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
De plus, la règle est cartographiée selon la méthodologie MITRE ATT&CK adressant les tactiques d’accès initial et la technique Exploiter les applications accessibles au public (t1190).
Vous cherchez des moyens de répondre à vos cas d’utilisation personnalisés, d’améliorer la découverte des menaces et de rationaliser les capacités de chasse avec une solution unique et économique ? Découvrez la nouvelle plateforme de SOC Prime, qui répond à tous vos besoins en matière de sécurité dans un espace unique conçu pour rendre votre expérience de détection des menaces plus rapide, plus simple et plus intelligente. Vous souhaitez rejoindre notre initiative de crowdsourcing et devenir l’un de nos contributeurs de contenu ? Commencez avec le Threat Bounty Program, le premier programme du secteur !
