Una recente presentazione di ricerca al Black Hat USA 2024 ha evidenziato gravi vulnerabilità architetturali nel server web Apache HTTP, una pietra miliare delle infrastrutture web globali. Condotta dal ricercatore di sicurezza Orange Tsai, lo studio ha esaminato a fondo la complessità del design modulare di Apache, rivelando una serie di gravi debolezze che potrebbero esporre milioni di server a ciberattacchi.
La complessità del server Apache
HTTPIl server Apache HTTP funziona attraverso un’architettura altamente modulare, dove centinaia di piccoli moduli lavorano insieme per gestire le richieste HTTP. Questi moduli condividono una struttura di request_rec per la sincronizzazione, la comunicazione e lo scambio di dati. Sebbene questo design promuova l’efficienza e la scalabilità, introduce anche una notevole complessità, soprattutto quando è scalato a un grande numero di moduli, creando lacune di sicurezza che rendono il sistema vulnerabile a varie forme di sfruttamento.
Principali scoperte: Nove nuove vulnerabilità
La ricerca ha identificato nove vulnerabilità precedentemente non divulgate nel server Apache HTTP, ognuna delle quali rappresenta una minaccia unica:
- CVE-2024-38472: Una vulnerabilità di Server-Side Request Forgery (SSRF) nel server Apache HTTP su Windows. Questo difetto permette agli attaccanti di manipolare le richieste interne del server, potenzialmente conducendo ad accessi non autorizzati ai servizi interni.
- CVE-2024-39573: Problemi di codifica dei proxy che potrebbero permettere agli attaccanti di eludere i meccanismi di sicurezza e ottenere accessi non autorizzati.
- CVE-2024-38477: Una vulnerabilità nel modulo mod_proxy dove una richiesta specificamente formulata può causare un crash, portando a un Denial of Service (DoS).
- CVE-2024-38476: Sfruttamento dell’output di applicazioni backend malevole tramite reindirizzamenti interni, potenzialmente compromettendo il sistema.
- CVE-2024-38475: Una debolezza in mod_rewrite che può essere sfruttata quando il primo segmento della sostituzione corrisponde al percorso del filesystem.
- CVE-2024-38474: Problemi nella gestione di punti interrogativi codificati in backreferences, che potrebbero essere sfruttati per eludere i controlli di sicurezza.
- CVE-2024-38473: Un altro problema di codifica dei proxy che potrebbe portare a vulnerabilità di sicurezza.
- CVE-2023-38709: Una vulnerabilità di splitting delle risposte HTTP, che permette agli attaccanti di manipolare le risposte del server.
- CVE-2024-?????: Una vulnerabilità ancora non corretta che rimane una preoccupazione significativa.
Attacchi di Confusione: Una Nuova Classe di Minacce
La ricerca ha anche introdotto una nuova classe di vulnerabilità chiamate Attacchi di Confusione. Questi attacchi sfruttano le incongruenze nel modo in cui i diversi moduli all’interno del server Apache HTTP interpretano gli stessi campi, portando a rischi per la sicurezza come il bypass dei controlli di accesso e l’esecuzione di codice arbitrario.
- Confusione del Nome del File: Questo attacco si verifica quando i diversi moduli interpretano il campo r->filename in modo inconsistente—alcuni lo trattano come un URL, mentre altri come un percorso del filesystem. Questo può portare a troncamenti del percorso, bypass di ACL e l’esecuzione di script non autorizzati.
- Confusione del DocumentRoot: Questo attacco sfrutta la confusione tra percorsi con e senza il prefisso DocumentRoot, potenzialmente portando ad accessi non intenzionali ai file e a violazioni della sicurezza come XSS, LFI, SSRF o anche RCE.
- Confusione del Gestore: Questa vulnerabilità nasce dall’uso intercambiabile delle direttive AddType e AddHandler, portando a potenziali sovrascritture o usi impropri dei gestori, risultando in problemi come SSRF, RCE o accesso a socket Unix locali.
Mitigazione e Raccomandazioni
Data la gravità di queste vulnerabilità, si consiglia vivamente alle organizzazioni che utilizzano il server Apache HTTP di aggiornare i propri server alla versione più recente (2.4.60) e di rivedere attentamente le configurazioni per mitigare questi rischi. La ricerca sottolinea l’importanza di comprendere i meccanismi interni e il design architetturale di software critici come Apache HTTP Server. Esporre queste vulnerabilità mira ad aiutare le organizzazioni a rafforzare le loro difese contro potenziali sfruttamenti e a migliorare la resilienza complessiva della sicurezza informatica.
Source: Cyber Security News
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.