La complexité du serveur Apache HTTP
Le serveur Apache HTTP fonctionne grâce à une architecture hautement modulaire, où des centaines de petits modules travaillent en tandem pour gérer les requêtes HTTP. Ces modules partagent une structure request_rec pour la synchronisation, la communication et l’échange de données. Bien que ce design permette l’efficacité et la scalabilité, il introduit également une complexité significative, surtout lorsqu’il est étendu à un grand nombre de modules. Cette complexité peut créer des failles de sécurité, rendant le système vulnérable à diverses formes d’exploitation.
Principales découvertes : Neuf nouvelles vulnérabilités
La recherche a identifié neuf vulnérabilités précédemment non divulguées dans le serveur Apache HTTP, chacune représentant une menace unique :
1. CVE-2024-38472 : Une vulnérabilité de Server-Side Request Forgery (SSRF) dans le serveur Apache HTTP sur Windows. Ce défaut permet aux attaquants de manipuler les requêtes internes du serveur, potentiellement conduisant à un accès non autorisé aux services internes.
2. CVE-2024-39573 : Problèmes de codage proxy qui pourraient permettre aux attaquants de contourner les mécanismes de sécurité et d’obtenir un accès non autorisé.
3. CVE-2024-38477 : Une vulnérabilité dans le module mod_proxy où une requête spécialement conçue peut provoquer un crash, conduisant à un Denial of Service (DoS).
4. CVE-2024-38476 : Exploitation de la sortie d’applications backend malveillantes via des redirections internes, potentiellement compromettant le système.
5. CVE-2024-38475 : Une faiblesse dans mod_rewrite qui peut être exploitée lorsque le premier segment de la substitution correspond au chemin du système de fichiers.
6. CVE-2024-38474 : Problèmes dans la gestion des points d’interrogation encodés dans les références inverses, qui pourraient être exploités pour contourner les contrôles de sécurité.
7. CVE-2024-38473 : Un autre problème de codage proxy qui pourrait mener à des vulnérabilités de sécurité.
8. CVE-2023-38709 : Une vulnérabilité de division des réponses HTTP, permettant aux attaquants de manipuler les réponses du serveur.
9. CVE-2024-?????? : Une vulnérabilité encore non corrigée qui reste une préoccupation importante.
Attaques de confusion : Une nouvelle classe de menaces
La recherche a également introduit une nouvelle classe de vulnérabilités appelées Attaques de Confusion. Ces attaques exploitent les incohérences dans la manière dont les différents modules au sein du serveur Apache HTTP interprètent les mêmes champs, entraînant des risques pour la sécurité tels que le contournement des contrôles d’accès et l’exécution arbitraire de code.
1. Confusion de nom de fichier : Cette attaque se produit lorsque différents modules interprètent le champ r->filename de manière incohérente : certains le considèrent comme une URL, tandis que d’autres le voient comme un chemin de système de fichiers. Cela peut entraîner la troncation de chemin, le contournement des ACL, et l’exécution de scripts non autorisés.
2. Confusion de DocumentRoot : Cette attaque exploite la confusion entre les chemins avec et sans le préfixe DocumentRoot, potentiellement conduisant à un accès non intentionnel aux fichiers et à des violations de sécurité telles que XSS, LFI, SSRF, ou même RCE.
3. Confusion de gestionnaire : Cette vulnérabilité découle de l’utilisation interchangeable des directives AddType et AddHandler, conduisant à d’éventuelles réécritures ou à une mauvaise utilisation des gestionnaires, résultant en des problèmes tels que SSRF, RCE, ou l’accès à des sockets Unix locaux.
Atténuation et recommandations
Étant donné la gravité de ces vulnérabilités, il est fortement conseillé aux organisations utilisant le serveur Apache HTTP de mettre à jour leurs serveurs vers la dernière version (2.4.60) et de revoir attentivement leurs configurations pour atténuer ces risques. La recherche souligne l’importance de comprendre les mécanismes internes et le design architectural de logiciels critiques comme le serveur Apache HTTP. En exposant ces vulnérabilités, la recherche vise à aider les organisations à renforcer leurs défenses contre les exploitations potentielles et à améliorer la résilience globale en matière de cybersécurité.
Source: Cyber Security News
La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.