Amélioration proactive des protections d'Apache httpd avec Orange Tsai de DEVCORE
Commentaires éditoriaux et additionnels de Tricia Howard
Synthèse
En collaboration avec le célèbre chercheur en sécurité Orange Tsai et DEVCORE, les chercheurs d'Akamai ont publié des correctifs anticipés pour les CVE Apache pour les utilisateurs d'Akamai App & API Protector .
Tsai a présenté ses recherches à la conférence Black Hat USA 2024 et a décrit en détail de nombreuses vulnérabilités d'Apache HTTP Server (httpd) qui ont été récemment corrigées.
Avant sa présentation pour Black Hat, le SIG d'Akamai avait contacté Tsai afin de faciliter le partage des détails techniques pour une défense proactive de nos clients.
Les clients d'App & API Protector qui utilisent le mode automatique disposent de protections existantes et mises à jour.
Introduction
Apache HTTP Server (httpd) est un serveur web très fréquenté depuis les premiers jours d'Internet. Il va sans dire que lorsque des vulnérabilités sont découvertes au sein d'entités aussi omniprésentes, elles doivent être corrigées.
Le chercheur en sécurité Orange Tsai de DEVCORE a découvert trois types de chemins d'attaque par confusion dans httpd : la confusion de nom de fichier, la confusion documentRoot et la confusion du gestionnaire. Certains des modules d'Apache traiteront r->filename en tant qu'URL et chemin d'accès au fichier.
Voici un exemple : RewriteRule, qui est une composante importante de ces recherches. Ses effets peuvent être aussi graves que l'exécution de code à distance (RCE) ou l'accès à n'importe quel fichier sur le serveur compromis.
Collaboration entre Akamai et DEVCORE
Tsai a initialement présenté ses recherches, y compris plusieurs primitives et l'analyse approfondie de la façon dont elles pourraient être exploitées, à la conférence Black Hat USA 2024. Le SIG d'Akamai a contacté Tsai et l'équipe de DEVCORE pour collaborer, ce qui a permis de mettre en place des protections préventives pour les clients d'Akamai App & API Protector.
Nous tenons à remercier Orange Tsai et l'équipe de DEVCORE pour leur confiance, leur volonté de coopérer et leur participation à tous les aspects de cette collaboration, de la demande à la publication de ce billet de blog.
Les CVE affectées
Les vulnérabilités suivantes ont été découvertes par Tsai et divulguées de manière responsable à l'équipe du projet Apache HTTP Server. Une CVE a été corrigée dans httpd version 2.4.59. Le reste a été corrigé dans httpd version 2.4.60.
CVE-2024-38472 — Apache HTTP Server sur Windows UNC SSRF
CVE-2024-39573 — Apache HTTP Server : substitution du gestionnaire proxy mod_rewrite
CVE-2024-38477 — Apache HTTP Server : plantage entraînant un déni de service dans mod_proxy via une requête malveillante
CVE-2024-38476 — Apache HTTP Server peut utiliser une sortie d'application back-end exploitable/malveillante pour exécuter des gestionnaires locaux via une redirection interne
CVE-2024-38475 — Faiblesse d'Apache HTTP Server dans mod_rewrite lorsque le premier segment de substitution correspond au chemin du système de fichiers
CVE-2024-38474 — Faiblesse d'Apache HTTP Server avec des points d'interrogation encodés dans les références inverses
CVE-2024-38473 — Problème d'encodage proxy d'Apache HTTP Server
CVE-2023-38709 — Apache HTTP Server : Partage de réponse HTTP
Atténuation avec App & API Protector
Les clients qui utilisent Akamai Adaptive Security Engine en mode automatique et possèdent les groupes d'attaque Protocole Web et Plateforme Web en mode Deny sont automatiquement protégés contre ces vulnérabilités.
Les clients qui utilisent Adaptive Security Engine en mode manuel doivent confirmer qu'ils ont le protocole Web et les groupes d'attaque de plateforme Web ou les règles individuelles suivantes en mode Deny :
951910 v6 — Attaque par division de réponse HTTP (injection d'en-tête)
3000950 v1 — Tentative d'exploitation du serveur Apache httpd détectée (CVE-2024-38475, CVE-2024-38474)
Akamai Adaptive Security Engine fournit déjà une protection contre bon nombre de ces vulnérabilités. Cependant, sur la base des informations partagées par Orange Tsai, nous avons publié la règle 3000950 pour fournir à nos clients une protection complète contre ces menaces.
Ajout de couches de défense supplémentaires
La défense la plus efficace consistera toujours à appliquer rapidement les correctifs fournis par le fournisseur. Cependant, nous comprenons que le temps et les efforts dont les équipes de sécurité ont besoin pour identifier et corriger les logiciels vulnérables en toute sécurité sont fastidieux, et le nombre croissant d'applications et d'environnements fluides rend cette tâche encore plus onéreuse.
Une stratégie de défense en profondeur reste cruciale pour protéger les actifs d'une entreprise contre des menaces de plus en plus nombreuses. Les attaquants intègrent rapidement des démonstrations de faisabilité publiques dans leurs outils d'attaque, ce qui accroit les difficultés pour les défenseurs.
La mise en œuvre d'un pare-feu d'application Web, tel qu'Akamai App & API Protector, peut ajouter une couche de défense supplémentaire, tout en offrant une protection contre les nouvelles CVE découvertes et en fournissant un tampon de sécurité supplémentaire.
Remerciements
Nous remercions Orange Tsai et l'équipe DEVCORE d'avoir collaboré avec Akamai et d'avoir permis de limiter tout impact négatif sur les clients d'Akamai utilisant le serveur Web Apache httpd. Nous le remercions également pour sa contribution constante à la communauté de la sécurité.
Akamai souhaite également encourager l'ensemble de la communauté des chercheurs en sécurité à collaborer avec nous à l'avenir lors de la divulgation de nouvelles vulnérabilités Web, car nous protégeons un grand nombre de sites Web critiques.