Les utilisateurs du serveur Web Apache sont invités à corriger immédiatement

Les utilisateurs du serveur HTTP Apache open source qui ont mis à jour vers la version 2.4.49 récemment publiée sont invités à mettre à jour vers la version 2.4.50 immédiatement pour appliquer des correctifs à un zero-day récemment divulgué qui est déjà activement exploité par des acteurs malveillants.

Signalé pour la première fois il y a une semaine, le 29 septembre, le correctif accéléré reflète l’utilisation généralisée du logiciel de serveur Web gratuit et multiplateforme de l’Apache Software Foundation, qui remonte au milieu des années 1990 et a été une force motrice dans le développement rapide du World Wide Web à l’époque. Il dessert encore environ un quart des sites Web actifs dans le monde.

Les nouvelles versions corrigent deux vulnérabilités, dont le zero-day, suivi comme CVE-2021-41773, est clairement le plus urgent. Il a été identifié et divulgué par Ash Daulton de l’équipe de sécurité de cPanel.

La faille a été trouvée dans une modification apportée à la normalisation de chemin dans la version affectée d’Apache, et elle pourrait permettre à un attaquant d’utiliser une attaque de traversée de chemin pour mapper des URL à des fichiers en dehors de la racine de document attendue.

Apache a déclaré que si les fichiers en dehors de la racine du document ne sont pas protégés par « exiger que tout soit refusé », de telles demandes peuvent réussir, et en outre, la faille peut divulguer la source des fichiers interprétés, tels que les scripts CGI, à un attaquant.

Cela n’affecte qu’Apache 2.4.49, qui est tombé le 15 septembre, de sorte que les utilisateurs qui n’ont pas encore mis à niveau vers cette version ne sont pas affectés et doivent passer directement à la version 2.4.50.

Plusieurs cyber-chercheurs affirment avoir déjà reproduit CVE-2021-41773, et des exploits de preuve de concept circulent.

Ax Sharma de Sonatype a déclaré qu’associé à un problème distinct, également signalé plus tôt cette semaine, dans lequel des serveurs Apache Airflow mal configurés ont été trouvés pour divulguer des milliers d’informations d’identification, l’incident a démontré l’importance de l’application de correctifs rapides.

« Les défauts de traversée du chemin ne doivent pas être sous-estimés », a déclaré Sharma. « Malgré les rappels et les avertissements répétés émis par Fortinet, la vulnérabilité de pare-feu VPN (CVE-2018-13379) vieille de plusieurs années continue d’être exploitée même aujourd’hui, car de nombreuses entités sont en retard sur les correctifs », a-t-il noté.

« Cette année, les attaquants ont exploité la faille de traversée de chemin Fortinet pour divulguer les mots de passe de plus de 500 000 VPN. C’est 10 fois le nombre de pare-feu VPN qui ont été compromis l’année dernière par le même exploit », a-t-il déclaré.

Sharma a déclaré qu’il y avait trois points à retenir d’un tel incident, à savoir:

• Cette exploitation active suit rapidement les divulgations, même lorsque le processus a été bien coordonné et géré de manière responsable;
• Que les attaquants surveilleront constamment les exploits publics et analyseront les instances vulnérables – une recherche Shodan révèle plus de 100 000 instances d’Apache HTTP Server 2.4.49, 4 000 au Royaume-Uni;
• Et que toutes les solutions ne sont pas toujours suffisantes simplement parce qu’un émetteur dit que c’est le cas – les acteurs de la menace peuvent souvent trouver des solutions de contournement.

Fuite d’informations d’identification

La fuite d’informations d’identification non liées a été trouvée par les chercheurs Nicole Fishbein et Ryan Robinson d’Intezer dans la plate-forme de gestion de flux de travail Airflow d’Apache, qui est l’application de flux de travail open source la plus largement recommandée sur GitHub.

En sondant une mauvaise configuration dans Airflow, Fishbein et Robinson ont découvert plusieurs instances non protégées exposant des informations d’identification appartenant à des organisations des secteurs de la biotechnologie, de la cybersécurité, du commerce électronique, de l’énergie, de la finance, de la santé, de l’informatique, de la fabrication, des médias et des transports.

Les informations d’identification concernaient divers services, notamment les fournisseurs d’hébergement cloud, le traitement des paiements et les plateformes de médias sociaux, notamment Amazon Web Services (AWS), Facebook, Klarna, PayPal, Slack et WhatsApp.

« Les entreprises chargées de gros volumes de données clients sensibles doivent être hypervigilantes dans leurs processus de sécurité », a déclaré Pravin Rasiah, vice-président des produits CloudSphere.

« Cela inclut le respect des meilleures pratiques concernant l’identification et la résolution de toute erreur de configuration de sécurité qui met les données en danger en temps réel. Les erreurs de configuration de sécurité sont souvent le résultat d’une visibilité incomplète de l’infrastructure de données et de l’absence de garde-fous d’autorisation de sécurité.

« Ce qui peut sembler n’être qu’un oubli mineur dans les pratiques de codage, comme les chercheurs l’ont indiqué était probablement le cas ici, peut finalement avoir des répercussions dévastatrices sur la réputation d’une marque, car la confiance des clients repose d’abord et avant tout sur la sécurité de leurs données », a-t-il déclaré.

« Grâce à une évaluation complète de la posture de sécurité des applications hébergées dans leur environnement cloud et à la possibilité de résoudre les problèmes en temps réel, les entreprises peuvent fonctionner en toute sécurité sans mettre en danger les données des clients. »