Migliorare i sistemi di protezione httpd di Apache in modo proattivo con Orange Tsai di DEVCORE
Editoriale e commenti aggiuntivi di Tricia Howard
Analisi riassuntiva
In collaborazione con il noto ricercatore della sicurezza Orange Tsai di DEVCORE, i ricercatori di Akamai hanno pubblicato tempestivamente le correzioni relative alle CVE di Apache per i clienti della nostra soluzione Akamai App & API Protector .
Tsai ha presentato la sua ricerca in occasione del Black Hat USA 2024 , riportando le informazioni su molte vulnerabilità del server Apache HTTP (httpd) recentemente corrette con le apposite patch.
Prima della sua presentazione al Black Hat, l'Akamai Security Intelligence Group (SIG) ha contattato Tsai per facilitare la condivisione delle informazioni sui sistemi di difesa proattivi per i suoi clienti.
I clienti di App & API Protector che hanno scelto la modalità automatica dispongono di sistemi di protezione esistenti e aggiornati.
Introduzione
Il server Apache HTTP (httpd) è interessato da un volume elevato di traffico fin dagli esordi di Internet. Ovviamente, una volta rilevate nelle entità di tale ubiquità, eventuali vulnerabilità vanno risolte.
Il ricercatore della sicurezza Orange Tsai di DEVCORE ha individuato tre tipi di percorsi per sferrare attacchi di confusione all'interno del server httpd: Filename, documentRoot e handler. Alcuni dei moduli contenuti in Apache trattano il percorso r->filename come un URL, oltre che come un percorso di file.
Un esempio simile è RewriteRule, che è un componente oneroso di questa ricerca. Gli effetti possono essere gravi, come ottenere l'esecuzione di codice remoto (RCE) o accedere a qualsiasi file presente sul server violato.
La collaborazione tra Akamai e DEVCORE
Tsai ha presentato inizialmente la sua ricerca con diverse primitive e un'analisi accurata di come potevano essere sfruttate in occasione del Black Hat USA 2024, L'Akamai SIG ha contattato in modo proattivo Tsai e il team di DEVCORE per collaborare, fornendo sistemi di protezione preventivi ai clienti di Akamai App & API Protector.
Vorremmo ringraziare Orange Tsai e il team di DEVCORE per la loro fiducia, la volontà di collaborare e la partecipazione a tutti gli aspetti di questa collaborazione dalla richiesta alla pubblicazione del blog.
Le CVE interessate
Le seguenti vulnerabilità sono state scoperte da Tsai e divulgate al team Apache HTTP Server Project. Una CVE è stata corretta nella versione 2.4.59 di httpd, mentre le altre CVE sono state corrette nella versione 2.4.60 di httpd.
CVE-2024-38472 - Server Apache HTTP su Windows UNC SSRF
CVE-2024-39573 - Server Apache HTTP: sostituzione handler del proxy mod_rewrite
CVE-2024-38477 - Server Apache HTTP: interruzione del sistema con negazione del servizio in mod_proxy tramite una richiesta dannosa
CVE-2024-38476 - Il server Apache HTTP potrebbe usare applicazioni di back-end vulnerabili/dannose per gestire gli handler locali tramite un reindirizzamento interno
CVE-2024-38475 - Vulnerabilità del server Apache HTTP in mod_rewrite quando il primo segmento della sostituzione corrisponde al percorso del filesystem
CVE-2024-38474 - Vulnerabilità del server Apache HTTP con punti interrogativi codificati nei backreference
CVE-2024-38473 - Problema di codifica del proxy del server Apache HTTP
CVE-2023-38709 - Server Apache HTTP: Divisione della risposta HTTP
Misure di mitigazione con App & API Protector
I clienti che utilizzano Akamai Adaptive Security Engine in modalità automatica e con il gruppo Web Protocol e Web Platform Attack in modalità di rifiuto vengono automaticamente protetti da queste vulnerabilità.
I clienti che utilizzano Adaptive Security Engine in modalità manuale devono verificare di avere i gruppi Web Protocol e Web Platform Attack o le seguenti regole individuali in modalità di rifiuto:
951910 v6 - Attacco di divisione delle risposte HTTP (Header Injection)
3000950 v1 - Rilevato un tentativo di sfruttamento del server httpd di Apache (CVE-2024-38475, CVE-2024-38474)
Akamai Adaptive Security Engine sta già fornendo una protezione per molte di queste vulnerabilità. Tuttavia, sulla base delle informazioni condivise da Orange Tsai, abbiamo pubblicato la regola 3000950 per fornire ai nostri clienti una protezione completa da queste minacce.
Aggiunta di ulteriori livelli di difesa
La difesa più efficace consiste sempre nell'applicare tempestivamente le patch fornite dal proprio vendor. Tuttavia, ci rendiamo conto del tempo e degli sforzi necessari ai team addetti alla sicurezza per identificare e applicare correttamente le patch ai software vulnerabili. Inoltre, il numero crescente di applicazioni e la fluidità degli ambienti rendono questa attività ancora più onerosa.
Una strategia di difesa approfondita rimane cruciale per proteggere le risorse di un'organizzazione da un numero sempre crescente di minacce. I criminali incorporano rapidamente le PoC (Proof-of-Concept) pubbliche nei loro set di strumenti di attacco, complicando le cose per gli addetti alla sicurezza.
L'implementazione di una soluzione WAF ( Web Application Firewall), come Akamai App & API Protector, può aggiungere un ulteriore livello di difesa, proteggere dalle CVE appena rilevate e fornire una maggiore sicurezza.
Ringraziamenti
Desideriamo ringraziare Orange Tsai e il team di DEVCORE per aver coordinato Akamai e consentito di limitare l'impatto negativo sui clienti di Akamai che utilizzano il server httpd di Apache. Desideriamo anche ringraziare il suo contributo crescente alla community della sicurezza.
Akamai desidera, inoltre, incoraggiare l'intera community dei ricercatori della sicurezza a collaborare con noi in futuro al momento di divulgare informazioni sulle vulnerabilità nell'intento di proteggere enormi quantità di siti web di importanza critica.