Una recente presentación de investigación en Black Hat USA 2024 ha sacado a la luz graves vulnerabilidades arquitectónicas en el servidor Apache HTTP, un pilar de la infraestructura web a nivel mundial. Conducida por el investigador de ciberseguridad Orange Tsai, el estudio profundizó en las complejidades del diseño modular de Apache, descubriendo una serie de debilidades críticas que podrían exponer millones de servidores a ciberataques.
La complejidad del servidor Apache HTTP
El servidor Apache HTTP funciona a través de una arquitectura altamente modular, donde cientos de pequeños módulos trabajan en conjunto para manejar las solicitudes HTTP. Estos módulos comparten una estructura de request_rec para la sincronización, comunicación e intercambio de datos. Aunque este diseño permite eficiencia y escalabilidad, también introduce una complejidad significativa, especialmente cuando se escala a un gran número de módulos. Esta complejidad puede crear brechas de seguridad, haciendo que el sistema sea vulnerable a diversas formas de explotación.
Hallazgos clave: Nueve nuevas vulnerabilidades
La investigación identificó nueve vulnerabilidades previamente no divulgadas en el servidor Apache HTTP, cada una representando una amenaza única:
1. CVE-2024-38472: Una vulnerabilidad de Server-Side Request Forgery (SSRF) en el servidor Apache HTTP en Windows. Este fallo permite a los atacantes manipular las solicitudes internas del servidor, lo que podría llevar a accesos no autorizados a los servicios internos.
2. CVE-2024-39573: Problemas de codificación del proxy que podrían permitir a los atacantes eludir los mecanismos de seguridad y obtener acceso no autorizado.
3. CVE-2024-38477: Una vulnerabilidad en el módulo mod_proxy donde una solicitud especialmente diseñada puede causar un colapso, llevando a un Denial of Service (DoS).
4. CVE-2024-38476: Explotación de la salida maliciosa de aplicaciones backend a través de redirecciones internas, lo que podría comprometer el sistema.
5. CVE-2024-38475: Una debilidad en mod_rewrite que puede ser explotada cuando el primer segmento de la sustitución coincide con la ruta del sistema de archivos.
6. CVE-2024-38474: Problemas en la gestión de signos de interrogación codificados en las referencias posteriores, que podrían ser explotados para eludir los controles de seguridad.
7. CVE-2024-38473: Otro problema de codificación del proxy que podría llevar a vulnerabilidades de seguridad.
8. CVE-2023-38709: Vulnerabilidad de división de respuestas HTTP, permitiendo a los atacantes manipular las respuestas del servidor.
9. CVE-2024-??????: Una vulnerabilidad aún no parcheada que sigue siendo una preocupación significativa.
Ataques de confusión: Una nueva clase de amenazas
La investigación también introdujo una nueva clase de vulnerabilidades llamadas Ataques de Confusión. Estos ataques explotan las inconsistencias en cómo los diferentes módulos dentro del servidor Apache HTTP interpretan los mismos campos, lo que lleva a riesgos de seguridad como el bypass de controles de acceso y la ejecución arbitraria de código.
1. Confusión del nombre de archivo: Este ataque ocurre cuando diferentes módulos interpretan el campo r->filename de manera inconsistente; algunos lo tratan como una URL, mientras que otros lo ven como una ruta de sistema de archivos. Esto puede llevar a la truncación de la ruta, el bypass de ACL y la ejecución de scripts no autorizados.
2. Confusión de DocumentRoot: Este ataque explota la confusión entre rutas con y sin el prefijo DocumentRoot, lo que podría llevar a accesos no intencionados a archivos y violaciones de seguridad como XSS, LFI, SSRF, o incluso RCE.
3. Confusión del gestor: Esta vulnerabilidad surge del uso intercambiable de las directivas AddType y AddHandler, lo que puede llevar a sobrescribir o mal uso de los gestores, resultando en problemas como SSRF, RCE, o acceso a sockets Unix locales.
Mitigación y recomendaciones
Dada la gravedad de estas vulnerabilidades, se recomienda encarecidamente a las organizaciones que utilizan el servidor Apache HTTP que actualicen sus servidores a la última versión (2.4.60) y revisen cuidadosamente sus configuraciones para mitigar estos riesgos. La investigación enfatiza la importancia de comprender los mecanismos internos y el diseño arquitectónico de software crítico como el servidor Apache HTTP. Al exponer estas vulnerabilidades, la investigación tiene como objetivo ayudar a las organizaciones a fortalecer sus defensas contra la posible explotación y mejorar la resiliencia general de la ciberseguridad.
Source: Cyber Security News
La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.