HTTP-серверы Apache оказались под угрозой хакерских атак

Специалисты Федерального управления по информационной безопасности Германии и компании Cisco предупредили о кибератаках, в ходе которых преступники эксплуатируют уязвимость (CVE-2021-40438) в HTTP-сервере Apache.

Проблема представляет собой уязвимость подделки запроса на стороне сервера (SSRF), которая может быть использована против web-серверов httpd (The Apache HTTP Server) с включенным модулем mod_proxy. Злоумышленник может проэксплуатировать уязвимость путем отправки специально сформированного запроса и заставить модуль перенаправить запрос на произвольный исходный сервер.

Проблема была обнаружена группой безопасности Apache HTTP при исследовании другой уязвимости. Уязвимость затрагивает версии сервера 2.4.48 и ранее и была исправлена в середине сентября нынешнего года с выпуском версии 2.4.49.

«Отправляя специально созданный запрос, злоумышленники могут заставить включенный модуль mod_proxy направлять соединения на исходный сервер по своему выбору, тем самым похищая секреты (метаданные или ключи инфраструктуры) или получая доступ к другим внутренним серверам», — пояснили эксперты из компании Fastly. По словам специалистов, уязвимые версии httpd были запущены на более чем 500 тыс. серверах. Поскольку облачные сервисы, такие как AWS, Microsoft Azure и Google Cloud Platform, обеспечивают защиту от данных кибератак, уязвимость в основном затрагивает организации, самостоятельное управляющие httpd-серверами.

В Сети появилось несколько экспериментальных PoC-кодов для эксплуатации уязвимости, и Федеральное управление по информационной безопасности Германии и Cisco зафиксировали по крайней мере одну атаку, использующую данную проблему.