Se insta a los usuarios del servidor HTTP Apache de código abierto que se hayan actualizado a la versión 2.4.49 recientemente lanzada a actualizar a la 2.4.50 de inmediato para aplicar correcciones para un día cero recientemente revelado que ya está siendo explotado activamente por actores malintencionados.
Informado por primera vez hace una semana el 29 de septiembre, la solución acelerada refleja el uso generalizado del software de servidor web multiplataforma gratuito de Apache Software Foundation, que se remonta a mediados de la década de 1990 y fue una fuerza impulsora en el rápido desarrollo del mundo. Wide Web en ese momento. Todavía sirve alrededor de una cuarta parte de los sitios web activos a nivel mundial.
Los nuevos lanzamientos abordan dos vulnerabilidades, de las cuales el día cero, rastreado como CVE-2021-41773, es claramente el más urgente. Fue identificado y revelado por Ash Daulton del equipo de seguridad de cPanel.
La falla se encontró en un cambio realizado en la normalización de rutas en la versión afectada de Apache, y podría permitir a un atacante usar un ataque de ruta transversal para asignar URL a archivos fuera de la raíz del documento esperado.
Apache dijo que si los archivos fuera de la raíz del documento no están protegidos por “requieren todos denegados”, tales solicitudes pueden tener éxito y, además, la falla puede filtrar el origen de los archivos interpretados, como los scripts CGI, a un atacante.
Solo afecta a Apache 2.4.49, que se eliminó el 15 de septiembre, por lo que los usuarios que aún no se han actualizado a esta versión no se ven afectados y deben pasar directamente a la 2.4.50.
Varios investigadores cibernéticos dicen que ya han reproducido CVE-2021-41773 y están circulando exploits de prueba de concepto.
Axe Sharma de Sonatype dijo que, junto con un problema separado, también informado a principios de esta semana, en el que se descubrió que los servidores Apache Airflow mal configurados estaban filtrando miles de credenciales, el incidente demostró la importancia de un parche rápido.
“No se deben subestimar las fallas en el recorrido del camino”, dijo Sharma. “A pesar de los repetidos recordatorios y advertencias emitidos por Fortinet, la vulnerabilidad del firewall VPN de hace años (CVE-2018-13379) continúa siendo explotada incluso hoy, porque muchas entidades están atrasadas en el parcheo”, señaló.
“Este año, los atacantes aprovecharon la falla de cruce de ruta de Fortinet para filtrar contraseñas de más de 500,000 VPN. Eso es 10 veces la cantidad de firewalls VPN que se vieron comprometidos el año pasado a través del mismo exploit ”, dijo.
Sharma dijo que había tres conclusiones de tal incidente, a saber:
- Que la explotación activa sigue rápidamente a las divulgaciones, incluso cuando el proceso ha sido bien coordinado y gestionado de forma responsable;
- Que los atacantes vigilarán constantemente los exploits públicos y buscarán instancias vulnerables: una búsqueda de Shodan revela más de 100.000 instancias de Apache HTTP Server 2.4.49, 4.000 en el Reino Unido;
- Y que no todas las soluciones son siempre suficientes solo porque un emisor lo dice: los actores de amenazas a menudo pueden encontrar soluciones alternativas.
Fuga de credenciales
La fuga de credenciales no vinculada fue encontrada por los investigadores Nicole Fishbein y Ryan Robinson de Intezer en la plataforma de gestión de flujo de trabajo Airflow de Apache, que es la aplicación de flujo de trabajo de código abierto más recomendada en GitHub.
Mientras investigaban una configuración incorrecta en Airflow, Fishbein y Robinson descubrieron varias instancias desprotegidas que exponían credenciales pertenecientes a organizaciones en las industrias de biotecnología, ciberseguridad, comercio electrónico, energía, finanzas, salud, TI, manufactura, medios y transporte.
Las credenciales relacionadas con varios servicios, incluidos proveedores de alojamiento en la nube, procesamiento de pagos y plataformas de redes sociales, incluidos Amazon Web Services (AWS), Facebook, Klarna, PayPal, Slack y WhatsApp.
“Las empresas a las que se les confían grandes volúmenes de datos confidenciales de los clientes deben ser hipervigilantes en sus procesos de seguridad”, dijo el vicepresidente de productos de CloudSphere, Pravin Rasiah.
“Esto incluye seguir las mejores prácticas para identificar y abordar cualquier configuración incorrecta de seguridad que ponga en riesgo los datos en tiempo real. Las configuraciones incorrectas de seguridad a menudo son el resultado de una visibilidad incompleta de la infraestructura de datos y la falta de barreras de seguridad de autorización.
“Lo que puede parecer un descuido menor en las prácticas de codificación, como indicaron los investigadores, probablemente fue el caso aquí, en última instancia, puede tener repercusiones devastadoras en la reputación de una marca, ya que la confianza del cliente se basa ante todo en la seguridad de sus datos”, dijo.
“Con una evaluación integral de la postura de seguridad de las aplicaciones alojadas en su entorno de nube junto con la capacidad de solucionar problemas en tiempo real, las empresas pueden operar de manera segura sin poner en riesgo los datos de los clientes”.