Detectar CVE-2021-41773: Zero-Day de Path Traversal no Apache HTTP Server
Índice:
Na semana passada, pesquisadores de segurança identificaram uma grave falha de segurança que afeta o Apache HTTP Server. A falha (CVE-2021-41773) permite que adversários não autorizados acessem os dados sensíveis armazenados no servidor da web por meio de um ataque de traversal de caminho. A vulnerabilidade imediatamente chamou a atenção dos hackers, sendo massivamente explorada na natureza apesar do patch lançado em 5 de outubro de 2021.
Descrição do CVE-2021-41773
A vulnerabilidade ocorreu após a alteração das configurações de normalização de caminho com o lançamento do Apache HTTP Server v. 2.4.49. Como resultado, os servidores Apache HTTP ficaram expostos a ataques de traversal de caminho, permitindo que hackers mapeiem URLs para arquivos fora da raiz de documentos esperada. Atores maliciosos poderiam enviar solicitações específicas para acessar o backend ou diretórios sensíveis do servidor. Tais arquivos geralmente estão fora do alcance de partes não autorizadas, no entanto, a falha fornece a maneira de contornar as proteções e filtros utilizando caracteres codificados (ASCII) para os URLs. O comunicado do Apache detalha que o CVE-2021-41773 também pode levar ao vazamento do código fonte de arquivos interpretados como scripts CGI.
A única limitação para os atacantes explorarem essa vulnerabilidade é o fato de que o Apache HTTP Server 2.4.49 alvo deve ter a configuração de controle de acesso “require all denied” desativada. No entanto, essa geralmente é a configuração padrão.
Atualmente, uma busca no Shodan indica mais de 100.000 instalações do Apache HTTP Server v.2.4.49 expostas online, com a maioria delas esperada para ser vulnerável.
Detecção e Mitigação do CVE-2021-41773
Em vista da exploração massiva na natureza, os administradores são instados a atualizar seu software o mais rápido possível. As correções e o comunicado para essa vulnerabilidade foram lançados urgentemente pelo Apache em 5 de outubro de 2021.
Para detectar a atividade maliciosa associada ao zero-day CVE-2021-41773, você pode baixar uma regra Sigma gratuita disponível na plataforma SOC Prime.
Tentativa de Exploração do CVE-2021-41773
A detecção possui traduções para as seguintes plataformas SIEM SECURITY ANALYTICS: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Além disso, a regra é mapeada para a metodologia MITRE ATT&CK tratando as táticas de Acesso Inicial e a técnica de Exploitar Aplicações Viradas para o Público (t1190).
Procurando maneiras de atender seus casos de uso personalizados, aumentar a descoberta de ameaças e otimizar as capacidades de caça com uma solução única e econômica? Explore a recém-lançada plataforma da SOC Prime que atende a todas as suas necessidades de segurança em um único espaço, voltada para tornar sua experiência de detecção de ameaças mais rápida, simples e inteligente. Deseja participar da nossa iniciativa de crowdsourcing e se tornar um de nossos contribuidores de conteúdo? Comece com o primeiro Threat Bounty Program da indústria!
