Melhorias de proteções httpd do Apache com Orange Tsai da DEVCORE
Comentários editoriais e adicionais por Tricia Howard
Resumo executivo
Em colaboração com o renomado pesquisador de segurança Orange Tsai e a DEVCORE, os pesquisadores da Akamai publicaram correções de lançamento antecipado para os CVEs do Apache para nossos clientes do Akamai App & API Protector .
Tsai apresentou sua pesquisa na Black Hat USA 2024 e descreveu os detalhes de muitas vulnerabilidades do Apache HTTP Server (httpd) que foram recentemente corrigidas.
Antes de sua apresentação na Black Hat, o Grupo de inteligência de segurança (SIG) da Akamai entrou em contato com Tsai para facilitar o compartilhamento de detalhes de técnicas para a defesa proativa de nossos clientes.
Os clientes do App & API Protector que usam o modo automático já contam com proteções vigentes e atualizadas.
Introdução
O Apache HTTP Server (httpd) tem tido um tráfego da Web altíssimo desde os primórdios da Internet. Não é preciso dizer que quando são encontradas vulnerabilidades em entidades com tamanha ubiquidade, elas devem ser resolvidas.
Orange Tsai, pesquisador de segurança da DEVCORE, descobriu três tipos de caminhos de ataque de confusão no httpd: confusão de nome de arquivo, confusão de documentRoot e confusão de manipulador. Alguns dos módulos no Apache indicarão r->filename como um URL e como um caminho de arquivo.
Um exemplo disso é RewriteRule, um componente considerável desta pesquisa. Os efeitos podem ser tão graves quanto a execução remota de código (RCE) ou o acesso a qualquer arquivo no servidor comprometido.
Colaboração entre a Akamai e a DEVCORE
Originalmente, Tsai apresentou sua pesquisa, incluindo diversos fundamentos e análises aprofundadas de possíveis vias de exploração, na Black Hat USA 2024. O SIG da Akamai entrou em contato com Tsai e com a equipe da DEVCORE para propor uma colaboração, o que resultou em proteções preventivas para os clientes do Akamai App & API Protector.
Gostaríamos de agradecer a Orange Tsai e à equipe da DEVCORE por sua confiança, disponibilidade e participação em todos os aspectos desta colaboração, desde a solicitação até a publicação no blog.
Os CVEs afetados
As seguintes vulnerabilidades foram descobertas por Tsai e devidamente divulgadas para a equipe do Apache HTTP Server Project. Um CVE foi corrigido no httpd versão 2.4.59. O restante foi corrigido no httpd versão 2.4.60.
CVE-2024-38472 — falsificação de solicitação no lado do servidor do UNC no Apache HTTP Server no Windows
CVE-2024-39573 — Apache HTTP Server: substituição do manipulador de proxy mod_rewrite
CVE-2024-38477 — Apache HTTP Server: falha resultando em negação de serviço no mod_proxy por meio de uma solicitação mal-intencionada
CVE-2024-38476 — o Apache HTTP Server pode usar dados de saída de aplicativos de back-end exploráveis/mal-intencionados para executar manipuladores locais via redirecionamento interno
CVE-2024-38475 — vulnerabilidade no Apache HTTP Server no mod_rewrite quando o primeiro segmento de substituição corresponde ao caminho do sistema de arquivos
CVE-2024-38474 — vulnerabilidade no Apache HTTP Server com pontos de interrogação codificados em referências cruzadas
CVE-2024-38473 — problema de codificação de proxy no Apache HTTP Server
CVE-2023-38709 — Apache HTTP Server: divisão de resposta HTTP
Mitigação com o App & API Protector
Os clientes que usam o Akamai Adaptive Security Engine no modo automático, com os grupos de ataque a protocolos da Web e plataformas da Web no modo de negação, estão automaticamente protegidos.
Os clientes que usam o Adaptive Security Engine no modo manual devem verificar se os grupos de ataque a protocolos da Web e plataformas da Web ou as seguintes regras individuais estão no modo de negação:
951910 v6 — ataque de divisão de resposta HTTP (injeção de cabeçalho)
3000950 v1 — detectada tentativa de exploração de servidor httpd do Apache (CVE-2024-38475, CVE-2024-38474)
O Akamai Adaptive Security Engine já está fornecendo proteção contra muitas dessas vulnerabilidades. No entanto, com base nas informações compartilhadas por Orange Tsai, lançamos a regra 3000950 para oferecer aos nossos clientes proteção completa contra essas ameaças.
Adição de camadas extras de defesa
A defesa mais eficaz será sempre aplicar imediatamente os patches fornecidos pelo fornecedor. No entanto, sabemos que são muitos os esforços e o tempo necessários para que as equipes de segurança identifiquem e corrijam softwares vulneráveis, e o número crescente de aplicativos e ambientes fluidos está deixando essa tarefa ainda mais difícil.
Uma estratégia de defesa em profundidade permanece fundamental para proteger os ativos de uma organização contra um número cada vez maior de ameaças. Os invasores são rápidos em incorporar provas de conceito públicas em seus conjuntos de ferramentas de ataque, o que aumenta o desafio para as equipes de defesa.
A implementação de um Web Application Firewall, como o Akamai App & API Protector, pode adicionar uma camada extra de defesa, proteger contra CVEs recém-descobertos e fornecer um buffer extra de segurança.
Agradecimentos
Agradecemos a Orange Tsai e à equipe da DEVCORE pela colaboração com a Akamai, garantindo que seja evitado qualquer impacto negativo para os clientes da Akamai que executam o servidor da Web httpd do Apache. Também lhe agradecemos por suas contínuas contribuições para a comunidade de segurança.
A Akamai também gostaria de incentivar toda a comunidade de pesquisadores de segurança a colaborar conosco no futuro ao divulgar novos detalhes de vulnerabilidades na Web, pois protegemos uma grande quantidade de websites críticos.