Apache: RCE e LFI

Apache RCE e LFI

In data 5 Ottobre 2021 è stata data notizia di una vulnerabilità di livello elevato per una delle versioni Apache più diffuse: Apache 2.4.49. Tale vulnerabilità, nota come CVE-2021-41773, consisteva in una vulnerabilità LFI ovverosia una vulnerabilità di Local File Inclusion derivante da un bug nella gestione delle richieste. 

Tuttavia, a seguito della pubblicazione di tale CVE e del dispiegamento della relativa patch introdotta con la versione 2.4.50, in data 07/10/2021 è stato rinvenuto che la vulnerabilità poteva essere sfruttata su Apache 2.4.49 e 2.4.50 non solo per ottenere l’inclusione di file locali ma anche per ottenere esecuzione di codice remota non autenticata. Di conseguenza, è stata pubblicata una nuova vulnerabilità nota come CVE-2021-42013.

Tali vulnerabilità, la prima con classificazione CVSSv3 pari a 7.5/10 (High) e la seconda pari a 9.8/10 (Critical), hanno ricevute entrambe una patch con la pubblicazione della versione Apache/2.4.51. 

Tuttavia, pur essendo una vulnerabilità con exploit pubblici e sfruttata su larga scala, con una semplice richiesta gratuita su Shodan (un famoso search engine specializzato) si può osservare che ancora oggi, indicizzati da questo motore di ricerca, sono disponibili globalmente 33502 server con Apache 2.4.49 e 9382 server con Apache/2.4.50.

In particolare, con riferimento alla vulnerabilità d’esecuzione di codice remoto, di seguito si provvede la mappatura globale dei server vulnerabili al 25/10/2021:

 
Apache RCE

Per quanto riguarda la vulnerabilità di Local File Inclusion, invece, la mappatura è la seguente:

 

La mancata applicazione della patch mediante aggiornamento della versione rappresenta un chiaro esempio del motivo per cui effettuare analisi di sicurezza, con cadenza sistematica, costituisce un intervento necessario al fine d’assicurare la sicurezza del perimetro societario di un’infrastruttura complessa.