Proaktive Verbesserung der Apache-httpd-Sicherheit mit der Hilfe von Orange Tsai, DEVCORE
Redaktion und weitere Kommentare von Tricia Howard
Zusammenfassung
In Zusammenarbeit mit dem renommierten Sicherheitsforscher Orange Tsai und DEVCORE haben Akamai-Forscher frühzeitige Abhilfemaßnahmen für Kunden von Akamai App & API Protector im Hinblick auf Apache-CVEs veröffentlicht.
Tsai präsentierte seine Forschungsarbeit auf der Black Hat USA 2024 und erläuterte die Details zu zahlreichen Schwachstellen auf Apache-HTTP-Servern (httpd), die kürzlich gepatcht wurden.
Vor seiner Präsentation auf der Black Hat nahm die Akamai Security Intelligence Group (SIG) proaktiv Kontakt zu Tsai auf, um den Austausch von technischen Details zu erleichtern und unseren Kunden somit eine proaktive Abwehr zu ermöglichen.
Nutzer von App & API Protector verfügen im automatischen Modus über einen aktiven und aktualisierten Schutzmechanismus.
Einführung
Der Apache-HTTP-Server (httpd) ist seit den Anfängen des Internets ein stark frequentierter Webserver. Es versteht sich von selbst, dass Schwachstellen, die in solchen Systemen gefunden werden, behoben werden müssen.
Sicherheitsforscher Orange Tsai von DEVCORE hat drei Arten von Verwechslungsangriffspfaden innerhalb von httpd ermittelt: Verwechslung von Dateinamen, Verwechslung von DocumentRoot und Verwechslung des Handlers. Einige der Module in Apache werden r->Dateiname sowohl als URL als auch als Dateipfad behandeln.
Ein Beispiel dafür ist RewriteRule, ein wichtiger Bestandteil dieser Forschungsarbeit. Die Auswirkungen können so gravierend sein wie bei einer Remotecodeausführung (RCE) oder nach erfolgtem Zugriff auf eine beliebige Datei auf dem kompromittierten Server.
Zusammenarbeit zwischen Akamai und DEVCORE
Ursprünglich präsentierte Tsai seine Forschungsarbeit, darunter mehrere Primitive und gründliche Analysen zu den Exploit-Möglichkeiten, auf der Black Hat USA 2024. Akamai SIG nahm proaktiv Kontakt zu Tsai und dem DEVCORE-Team auf. Durch die Zusammenarbeit konnten präventive Schutzmaßnahmen für Kunden von Akamai App & API Protector eingerichtet werden.
Wir möchten Orange Tsai und dem DEVCORE-Team für ihr Vertrauen, ihre Kooperationsbereitschaft und ihre Beteiligung in allen Bereichen dieser Zusammenarbeit danken – von der Anfrage bis hin zur Veröffentlichung im Blog.
Betroffene CVEs
Die folgenden Schwachstellen wurden von Tsai entdeckt und verantwortungsbewusst an das Apache-HTTP-Server-Projektteam weitergegeben. Eine CVE wurde in httpd-Version 2.4.59 behoben. Die übrigen wurden in httpd-Version 2.4.60 behoben.
CVE-2024-38472 – Apache-HTTP-Server bei Windows UNC SSRF
CVE-2024-39573 – Apache-HTTP-Server: Ersetzung des Proxy-Handlers mod_rewrite
CVE-2024-38477 – Apache-HTTP-Server: Absturz, der über eine schädliche Anfrage zu Denial-of-Service in mod_proxy führt
CVE-2024-38476 – Apache-HTTP-Server kann ausnutzbare/schädliche Backend-Anwendungsausgaben verwenden, um lokale Handler über eine interne Umleitung auszuführen
CVE-2024-38475 – Schwachstelle des Apache-HTTP-Servers in mod_rewrite, wenn das erste Segment der Ersetzung mit dem Dateisystempfad übereinstimmt
CVE-2024-38474 – Schwachstelle des Apache-HTTP-Servers im Hinblick auf codierte Fragezeichen in Rückverweisen
CVE-2024-38473 – Problem des Apache-HTTP-Servers mit Proxycodierung
CVE-2023-38709 – Apache-HTTP-Server: HTTP-Antwortaufteilung
Abwehr mit App & API Protector
Nutzer, die Akamai Adaptive Security Engine im automatischen Modus verwenden und die die Gruppen „Angriff auf Webprotokoll“ und „Angriff auf Webplattform“ im Modus „Ablehnen“ haben, sind automatisch vor diesen Schwachstellen geschützt.
Nutzer, die Adaptive Security Engine im manuellen Modus verwenden, sollten überprüfen, ob sie die Gruppen „Angriff auf Webprotokoll“ und „Angriff auf Webplattform“ oder die folgende Einzelregel im Modus „Ablehnen“ haben:
951910 v6 – HTTP-Antwortaufteilungsangriff (Header-Einspeisung)
3000950 v1 – Exploit-Versuch im Apache-httpd-Server ermittelt (CVE-2024-38475, CVE-2024-38474)
Akamai Adaptive Security Engine bietet bereits Schutz vor vielen dieser Schwachstellen. Dennoch haben wir auf Grundlage der von Orange Tsai geteilten Informationen Regel 3000950 veröffentlicht, um unsere Kunden umfassend vor diesen Bedrohungen zu schützen.
Zusätzliche Verteidigungsebenen
Den effektivsten Schutz erhalten Sie, wenn Sie die vom Anbieter bereitgestellten Patches umgehend anwenden. Wir wissen jedoch, dass der Zeit- und Arbeitsaufwand, den Sicherheitsteams für die Identifizierung und das sichere Patchen anfälliger Software benötigen, eine große Belastung darstellt – und die steigende Anzahl von Anwendungen und wechselnden Umgebungen macht diese Aufgabe noch schwieriger.
Eine „Defense-in-Depth“-Strategie ist nach wie vor unerlässlich, um die Unternehmensressourcen vor einer immer weiter wachsenden Zahl von Bedrohungen zu schützen. Angreifer arbeiten öffentliche Machbarkeitsnachweise schnell in ihr Angriffsrepertoire ein, wodurch Verteidiger vor einer noch größeren Herausforderung stehen.
Die Implementierung einer Web Application Firewall, wie z. B. Akamai App & API Protector, kann als zusätzliche Verteidigungsebene dienen, die vor neu erkannten CVEs schützt und einen zusätzlichen Sicherheitspuffer bietet.
Danksagung
Wir danken Orange Tsai und dem DEVCORE-Team für die Zusammenarbeit mit Akamai, die es uns ermöglicht hat, negative Auswirkungen auf die Kunden von Akamai, die den Apache-httpd-Webserver nutzen, zu begrenzen. Weiterhin danken wir Tsai für seine kontinuierlichen Beiträge zur Sicherheitsbranche.
Darüber hinaus möchte Akamai die gesamte Community von Sicherheitsforschern ermutigen, in Zukunft mit uns zusammenzuarbeiten, wenn es um die Offenlegung neuer Details zu Schwachstellen im Internet geht, da wir eine große Anzahl kritischer Websites schützen.