Rileva CVE-2021-41773: Zero-Day Traversal di Percorso nel Server Apache HTTP
Indice:
La settimana scorsa i ricercatori di sicurezza hanno identificato una grave falla di sicurezza che interessa il server Apache HTTP. La falla (CVE-2021-41773) consente ad avversari non autorizzati di accedere ai dati sensibili memorizzati sul server web tramite un attacco di traversata del percorso. La vulnerabilità ha immediatamente attirato l’attenzione degli hacker essendo massicciamente sfruttata nonostante la patch rilasciata il 5 ottobre 2021.
Descrizione CVE-2021-41773
La vulnerabilità è avvenuta dopo che le impostazioni di configurazione della normalizzazione del percorso sono state modificate con il rilascio di Apache HTTP Server v. 2.4.49. Di conseguenza, i server Apache HTTP sono diventati esposti ad attacchi di traversata del percorso, consentendo agli hacker di mappare gli URL su file al di fuori della directory principale prevista. Gli attori delle minacce potrebbero inviare richieste specifiche per accedere al backend o alle directory sensibili del server. Tali file sono solitamente fuori portata per le parti non autorizzate, tuttavia, la falla fornisce il modo per superare le protezioni e i filtri sfruttando i caratteri codificati (ASCII) per gli URL. L’avviso di Apache dettaglia che CVE-2021-41773 potrebbe anche portare alla divulgazione del codice sorgente di file interpretati come script CGI.
L’unica limitazione per gli aggressori nell’approfittare di questa vulnerabilità è il fatto che il server Apache HTTP 2.4.49 mirato dovrebbe avere disattivato l’impostazione di controllo accessi “require all denied”. Tuttavia, questa è solitamente la configurazione predefinita.
Attualmente, una ricerca su Shodan indica oltre 100.000 installazioni di Apache HTTP Server v.2.4.49 esposte online, con la maggior parte di queste che si presume siano vulnerabili.
Rilevamento e Mitigazione CVE-2021-41773
In vista dell’ampio sfruttamento nel campo, gli amministratori sono sollecitati ad aggiornare il loro software al più presto. Le correzioni e le linee guida per questa vulnerabilità sono state rilasciate urgentemente da Apache il 5 ottobre 2021.
Per rilevare l’attività malevola associata al giorno zero CVE-2021-41773, puoi scaricare una regola Sigma gratuita disponibile sulla piattaforma SOC Prime.
Tentativo di Sfruttamento CVE-2021-41773
Il rilevamento ha traduzioni per le seguenti piattaforme di analisi della sicurezza SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Inoltre, la regola è mappata alla metodologia MITRE ATT&CK affrontando le tattiche di Accesso Iniziale e la tecnica di Sfruttamento delle Applicazioni Esposte al Pubblico (t1190).
Cerchi modi per affrontare i tuoi casi d’uso personalizzati, migliorare la scoperta delle minacce e semplificare le capacità di hunting con una soluzione conveniente? Esplora la nuova piattaforma di SOC Prime che soddisfa tutte le tue esigenze di sicurezza in un unico spazio volto a rendere la tua esperienza di rilevamento delle minacce più veloce, semplice e intelligente. Vuoi unirti alla nostra iniziativa di crowdsourcing e diventare uno dei nostri contributori di contenuti? Inizia con il primo programma Threat Bounty del settore!
