De complexiteit van de Apache HTTP Server
De Apache HTTP Server werkt via een zeer modulaire architectuur, waarbij honderden kleine modules samenwerken om HTTP-verzoeken af te handelen. Deze modules delen een request_rec-structuur voor synchronisatie, communicatie en gegevensuitwisseling. Hoewel dit ontwerp efficiëntie en schaalbaarheid mogelijk maakt, introduceert het ook aanzienlijke complexiteit, vooral wanneer het wordt uitgebreid naar een groot aantal modules. Deze complexiteit kan beveiligingslekken creëren, waardoor het systeem kwetsbaar wordt voor verschillende vormen van exploitatie.
Belangrijkste bevindingen: Negen nieuwe kwetsbaarheden
Het onderzoek identificeerde negen eerder niet bekendgemaakte kwetsbaarheden in de Apache HTTP Server, die elk een unieke bedreiging vormen:
1. CVE-2024-38472: Een Server-Side Request Forgery (SSRF) kwetsbaarheid in de Apache HTTP Server op Windows. Deze fout stelt aanvallers in staat om interne serververzoeken te manipuleren, wat mogelijk leidt tot ongeautoriseerde toegang tot interne diensten.
2. CVE-2024-39573: Problemen met proxycodering die aanvallers in staat kunnen stellen beveiligingsmechanismen te omzeilen en ongeautoriseerde toegang te krijgen.
3. CVE-2024-38477: Een kwetsbaarheid in de mod_proxy-module waarbij een speciaal gevormd verzoek een crash kan veroorzaken, wat leidt tot Denial of Service (DoS).
4. CVE-2024-38476: Exploitatie van kwaadaardige backend-applicatie-uitvoer via interne omleidingen, wat het systeem in gevaar kan brengen.
5. CVE-2024-38475: Een zwak punt in mod_rewrite dat kan worden misbruikt wanneer het eerste segment van de substitutie overeenkomt met het bestandssysteempad.
6. CVE-2024-38474: Problemen met het omgaan met gecodeerde vraagtekens in backreferences, die kunnen worden misbruikt om beveiligingscontroles te omzeilen.
7. CVE-2024-38473: Nog een proxycoderingsprobleem dat tot beveiligingskwetsbaarheden kan leiden.
8. CVE-2023-38709: HTTP-response-splitting-kwetsbaarheid, waarmee aanvallers de serverantwoorden kunnen manipuleren.
9. CVE-2024-??????: Een nog niet gepatchte kwetsbaarheid die nog steeds een aanzienlijke zorg is.
Verwarringsaanvallen: Een nieuwe klasse van bedreigingen
Het onderzoek introduceerde ook een nieuwe klasse van kwetsbaarheden, genaamd Verwarringsaanvallen. Deze aanvallen maken gebruik van inconsistenties in hoe verschillende modules binnen de Apache HTTP Server dezelfde velden interpreteren, wat leidt tot beveiligingsrisico’s zoals het omzeilen van toegangscontroles en de willekeurige uitvoering van code.
1. Bestandsnaamverwarring: Deze aanval treedt op wanneer verschillende modules het veld r->filename inconsistent interpreteren – sommige behandelen het als een URL, terwijl anderen het zien als een bestandssysteempad. Dit kan leiden tot padafkorting, ACL-bypass en de uitvoering van ongeautoriseerde scripts.
2. DocumentRoot-verwarring: Deze aanval maakt gebruik van de verwarring tussen paden met en zonder het DocumentRoot-voorvoegsel, wat mogelijk leidt tot onbedoelde bestandsinzage en beveiligingsinbreuken zoals XSS, LFI, SSRF of zelfs RCE.
3. Handler-verwarring: Deze kwetsbaarheid ontstaat door het onderling verwisselbare gebruik van AddType- en AddHandler-directieven, wat kan leiden tot mogelijke overschrijvingen of misbruik van handlers, wat resulteert in problemen zoals SSRF, RCE of toegang tot lokale Unix-domeinsockets.
Beperking en aanbevelingen
Gezien de ernst van deze kwetsbaarheden wordt organisaties die de Apache HTTP Server gebruiken sterk aangeraden om hun servers bij te werken naar de nieuwste versie (2.4.60) en hun configuraties zorgvuldig te herzien om deze risico’s te beperken. Het onderzoek benadrukt het belang van het begrijpen van de interne mechanismen en het architectonische ontwerp van kritieke software zoals de Apache HTTP Server. Door deze kwetsbaarheden aan het licht te brengen, streeft het onderzoek ernaar organisaties te helpen hun verdediging tegen mogelijke exploitatie te versterken en de algehele cyberveiligheidsweerbaarheid te verbeteren.
Source: Cyber Security News
De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.