Twoje bezpieczeństwo jest godne potwierdzenia!
Strona główna
Spoofing (podszywanie się) Sniffing (podsłuchiwanie) Scanning (skanowanie sieci) Ataki DoS (Odmowa obsługi) Ataki socjotechniczne Komputery zoombie Ataki siłowe i słownikowe Tu jesteś: Strona główna › Biuro prasowe › I znów luka w Apache: sprytni napastnicy mogą dostać się przez proxy do wewnętrznych zasobów organizacji
O firmie
Newsletter
Jeżeli chcą Państwo otrzymywać najświeższe informacje z naszej strony prosimy o podanie adresu e-mail.
I znów luka w Apache: sprytni napastnicy mogą dostać się przez proxy do wewnętrznych zasobów organizacji
2011-10-11 10:13
W sierpniu tego roku administratorzy serwerów WWW mieli mnóstwo roboty z łataniem luki w Apache'u, która pozwalała napastnikom na całkowite zawieszenie serwera. Luka była stara, nieusunięta z webserwera od wielu lat, a przypomniał o niej haker Kingcope, przedstawiając działającego exploita, napisanego w Perlu. Krótki był ich odpoczynek - wczoraj opiekunowie serwera Apache w trybie pilnym poinformowali, że Apache znów jest podatne na atak i należy jak najszybciej sprawdzić jego konfigurację.
Atak grozi obu stosowanym produkcyjnie wersjom najpopularniejszego na świecie demona HTTP: 1.3 i 2.x. Na szczęście jednak nie w każdej konfiguracji - napastnik może dobrać się do webserwera tylko jeśli jest on skonfigurowany w trybie reverse proxy. Ustawienie takie nie jest jednak wcale rzadkie - wykorzystuje się je często w loadbalancerach czy do oddzielenia od siebie treści statycznych i dynamicznych.
W poradzie opublikowanej przez opiekunów Apache'a czytamy: "Wykorzystując dyrektywy RewriteRule lub ProxyPassMatch, by skonfigurować odwrotne proxy za pomocą wzorca dopasowania, możliwe jest nieumyślne odsłonięcie wewnętrznych serwerów użytkownikom z zewnątrz, którzy przesyłają odpowiednio spreparowane żądania. Serwer nie waliduje, czy na wejściu do wzorca dopasowania był poprawny łańcuch ze ścieżką, więc wzorzec może zostać rozszerzony na niezamierzone docelowe URL".
Dzięki temu napastnik może uzyskać dostęp do wrażliwych danych i zasobów w "strefach zdemilitaryzowanych" organizacji, już za zaporą sieciową, które normalnie dostępne są tylko dla administratorów. Odkrywcy luki z firmy Context Information Security piszą, że mogli w ten sposób uzyskać dostęp do dowolnego wewnętrznego systemu, do którego dostęp miało proxy, włącznie z interfejsami zarządzającymi zapór sieciowych, routerów, webserwerów i baz danych. Udało im się też doprowadzić do pełnego przejęcia sieci, np. wgrać pliki z trojanami na serwery aplikacji JBoss. Podkreślają, że na atak tego typu mogą być podatne także inne webserwery i proxy.
Jak na razie dostępna jest łatka od opiekunów Apache'a (którą trzeba samemu sobie wkompilować), w najbliższych dniach powinny pojawić się też aktualizacje w kluczowych dystrybucjach Linuksa. Doradzają oni też, by zmienić reguły przepisywania, dodając do nich jeden ukośnik - to wystarczy, by zabezpieczyć wewnętrzne serwery.
W sytuacji, w której na Apache działają setki milionów hostów, luka może jednak okazać się zgubna w skutkach. Badacz Dan Rosenberg uważa, że zagrożenie wykracza poza użytkowników Apache'a - "w najgorszym wypadku dając możliwość napastnikowi do odczytania wrażliwych danych z wewnętrznych zasobów webowych". Podziela też opinię odkrywców luki z CIS, że inne webserwery też mogą być na atak taki podatne - choć oczywiście wszystko zależy od implementacji.
źródło: apache.org, theregister.co.uk
W poradzie opublikowanej przez opiekunów Apache'a czytamy: "Wykorzystując dyrektywy RewriteRule lub ProxyPassMatch, by skonfigurować odwrotne proxy za pomocą wzorca dopasowania, możliwe jest nieumyślne odsłonięcie wewnętrznych serwerów użytkownikom z zewnątrz, którzy przesyłają odpowiednio spreparowane żądania. Serwer nie waliduje, czy na wejściu do wzorca dopasowania był poprawny łańcuch ze ścieżką, więc wzorzec może zostać rozszerzony na niezamierzone docelowe URL".
Dzięki temu napastnik może uzyskać dostęp do wrażliwych danych i zasobów w "strefach zdemilitaryzowanych" organizacji, już za zaporą sieciową, które normalnie dostępne są tylko dla administratorów. Odkrywcy luki z firmy Context Information Security piszą, że mogli w ten sposób uzyskać dostęp do dowolnego wewnętrznego systemu, do którego dostęp miało proxy, włącznie z interfejsami zarządzającymi zapór sieciowych, routerów, webserwerów i baz danych. Udało im się też doprowadzić do pełnego przejęcia sieci, np. wgrać pliki z trojanami na serwery aplikacji JBoss. Podkreślają, że na atak tego typu mogą być podatne także inne webserwery i proxy.
Jak na razie dostępna jest łatka od opiekunów Apache'a (którą trzeba samemu sobie wkompilować), w najbliższych dniach powinny pojawić się też aktualizacje w kluczowych dystrybucjach Linuksa. Doradzają oni też, by zmienić reguły przepisywania, dodając do nich jeden ukośnik - to wystarczy, by zabezpieczyć wewnętrzne serwery.
W sytuacji, w której na Apache działają setki milionów hostów, luka może jednak okazać się zgubna w skutkach. Badacz Dan Rosenberg uważa, że zagrożenie wykracza poza użytkowników Apache'a - "w najgorszym wypadku dając możliwość napastnikowi do odczytania wrażliwych danych z wewnętrznych zasobów webowych". Podziela też opinię odkrywców luki z CIS, że inne webserwery też mogą być na atak taki podatne - choć oczywiście wszystko zależy od implementacji.
źródło: apache.org, theregister.co.uk