Mejora proactiva de las protecciones httpd de Apache con Orange Tsai de DEVCORE
Comentario editorial y adicional de Tricia Howard
Resumen ejecutivo
Gracias a la colaboración con los reconocidos equipos de investigación de seguridad Orange Tsai y DEVCORE, los investigadores de Akamai han publicado una serie de correcciones de versiones anteriores sobre los CVE de Apache para nuestros clientes de Akamai App & API Protector
Tsai presentó su investigación en Black Hat USA 2024 donde detallaron las características de muchas vulnerabilidades de Apache HTTP Server (httpd) que se han corregido recientemente.
Antes de su presentación en Black Hat, el grupo de inteligencia sobre seguridad (SIG) de Akamai se puso en contacto de forma proactiva con Tsai para facilitar el intercambio de datos técnicos para defender a nuestros clientes activamente.
Los clientes de App & API Protector que están en modo automático cuentan con las protecciones existentes y actualizadas.
Introducción
El servidor Apache HTTP (httpd) ha sido siempre uno de los servidores web más populares y utilizados en la historia de Internet. Evidentemente, cuando se descubren vulnerabilidades en entidades tan comunes, es necesario abordarlas.
Orange Tsai de DEVCORE ha identificado tres tipos diferentes de ataques de confusión en el servidor httpd: la confusión con el nombre de archivo, la confusión de DocumentRoot y la confusión del manejador. Algunos de los módulos de Apache tratarán r->nombre_archivo como una URL o como una ruta de archivo.
Un ejemplo de ello es RewriteRule, que es un componente esencial de esta investigación. Los efectos pueden ser tan graves como que se consiga ejecutar el código de forma remota (RCE) o que se acceda a cualquier archivo en el servidor vulnerado.
Colaboración entre Akamai y DEVCORE
Tsai presentó inicialmente su investigación, que incluía varios análisis iniciales y análisis exhaustivos sobre cómo se podrían explotar estas vulnerabilidades, en Black Hat USA 2024. El SIG de Akamai se puso en contacto de forma proactiva con Tsai y el equipo de DEVCORE para colaborar y esto dio lugar a protecciones preventivas para los clientes de Akamai App & API Protector.
Nos gustaría agradecer a Orange Tsai y al equipo de DEVCORE por su confianza, su voluntad de cooperación y su participación en todos los aspectos de esta colaboración, desde que solicitamos su ayuda hasta la publicación del blog.
Las CVE afectadas
Las siguientes vulnerabilidades fueron descubiertas por Tsai y divulgadas de forma responsable al equipo de proyectos del servidor Apache HTTP. Se ha corregido una CVE en la versión 2.4.59 de httpd. El resto se corrigieron en la versión 2.4.60.
CVE-2024-38472 — Servidor Apache HTTP con vulnerabilidad de SSRF en las rutas UNC en Windows
CVE-2024-39573 — Servidor Apache HTTP: sustitución del controlador de proxy mod_rewrite
CVE-2024-38477 — Servidor Apache HTTP: bloqueo que provoca la denegación de servicio en mod_proxy mediante una solicitud maliciosa
CVE-2024-38476 — El servidor Apache HTTP puede utilizar resultados de aplicaciones de back-end maliciosos o vulnerables para ejecutar controladores locales a través de redireccionamiento interno
CVE-2024-38475 — Debilidad del servidor Apache HTTP en mod_rewrite cuando el primer segmento de sustitución coincide con la ruta del sistema de archivos
CVE-2024-38474 — Debilidad del servidor Apache HTTP con signos de interrogación codificados en referencias cruzadas
CVE-2024-38473 — Problema de codificación del proxy del servidor Apache HTTP
CVE-2023-38709 — Servidor Apache HTTP: División de respuestas HTTP
Mitigación con App & API Protector
Los clientes que utilizan Adaptive Security Engine de Akamai en modo automático y tienen los grupos de ataque de protocolo y plataforma web en el modo de denegación se protegen automáticamente frente a estas vulnerabilidades.
Los clientes que utilizan Adaptive Security Engine en modo manual deben validar que tienen los grupos de ataque de protocolo y plataforma web o las siguientes reglas individuales en el modo de denegación:
951910 v6 — Ataque de división de respuesta HTTP (inyección de encabezado)
3000950 v1 — Detección de un intento de ataque al servidor Apache httpd (CVE-2024-38475, CVE-2024-38474)
Adaptive Security Engine de Akamai ya ofrece protección contra muchas de estas vulnerabilidades. Sin embargo, basándonos en la información que compartió Orange Tsai, hemos publicado la regla 3000950 para proporcionar a nuestros clientes una protección completa contra estas amenazas.
Añadir capas adicionales de defensa
La defensa más eficaz será siempre aplicar rápidamente los parches proporcionados por el proveedor. Sin embargo, entendemos que la cantidad de tiempo y esfuerzo que los equipos de seguridad necesitan para identificar y aplicar parches de forma segura al software vulnerable es una tarea ardua, y el aumento del número de aplicaciones y entornos fluidos está haciendo que esta tarea sea aún más compleja.
Una estrategia de defensa en profundidad sigue siendo crucial para proteger los activos de una organización frente al cada vez mayor número de amenazas. Los atacantes incorporan rápidamente pruebas de concepto públicas en sus conjuntos de herramientas de ataque, lo que agrava el desafío para los defensores.
La implementación de un firewall de aplicaciones web, como Akamai App & API Protector, puede servir como una capa de defensa adicional que puede proteger contra las CVE recién descubiertas y proporcionar un búfer de seguridad complementario.
Agradecimientos
Agradecemos a Orange Tsai y al equipo de DEVCORE su coordinación con Akamai y su capacidad para tratar de eliminar cualquier impacto negativo en los clientes de Akamai que ejecutan el servidor web Apache httpd. También le damos las gracias por sus continuas contribuciones a la comunidad de la seguridad.
Akamai también desea animar a toda la comunidad de investigadores en seguridad a colaborar con nosotros en el futuro a la hora de dar a conocer nuevos detalles sobre vulnerabilidades web, ya que, de esta forma, protegeremos gran cantidad de sitios web esenciales.