携手 DEVCORE 的 Orange Tsai 主动改进 Apache httpd 保护

自互联网出现之初，Apache HTTP 服务器 (httpd) 就是一个高流量的 Web 服务器。毫无疑问，如在如此普遍的实体中发现漏洞时，就必须加以解决。

DEVCORE 的安全研究人员 Orange Tsai 发现 httpd 中存在三类混淆攻击路径：Filename 混淆、 documentRoot 混淆和 handler 混淆。Apache 中的一些模块将 r->filename 视为 URL 和文件路径。

相关示例包括 RewriteRule这是这项研究的重要组成部分。影响可能较为严重，等同于实现远程代码执行 (RCE) 或访问遭入侵的服务器上的任何文件。

Tsai 一开始介绍了他的研究成果，包括几个基础组件和 如何利用这些基础组件的 全面分析。该研究成果展示于 Black Hat USA 2024 大会。Akamai SIG 主动联系 Tsai 和 DEVCORE 团队，要求合作，为 Akamai App & API Protector 客户提供预先保护。

我们衷心感谢 Orange Tsai 和 DEVCORE 团队的信任，他们十分乐于与我们合作并参与了从请求到博文发布的所有合作环节。

以下 漏洞 由 Tsai 发现，并负责任地披露给 Apache HTTP 服务器项目团队。一个 CVE 在 httpd 版本 2.4.59 中得到了修复。其余则在 httpd 版本 2.4.60 中得到了修复。 

• CVE-2024-38472 — Windows UNC SSRF 上的 Apache HTTP 服务器

• CVE-2024-39573 — Apache HTTP 服务器：mod_rewrite proxy handler substitution

• CVE-2024-38477 — Apache HTTP 服务器：恶意请求导致 mod_proxy 拒绝服务崩溃

• CVE-2024-38476 — Apache HTTP 服务器可能通过内部重定向使用可利用/恶意的后端应用程序输出来运行本地处理程序

• CVE-2024-38475 — 如果第一个替换分段与文件系统路径匹配，说明 mod_rewrite 中的 Apache HTTP 服务器存在漏洞

• CVE-2024-38474 — 反向引用中带有编码问号的 Apache HTTP 服务器漏洞

• CVE-2024-38473 — Apache HTTP 服务器代理编码问题

• CVE-2023-38709 — Apache HTTP 服务器：HTTP 响应拆分

当客户在自动模式下使用 Akamai Adaptive Security Engine 并在拒绝模式下具有 Web 协议和 Web 平台攻击组，将自动免受这些漏洞的影响。

当客户在手动模式下使用 Adaptive Security Engine 时，他们应确保在拒绝模式下具有 Web 协议和 Web 平台攻击组或以下单个规则：

• 951910 v6 — HTTP 响应拆分攻击（标头注入）

• 3000950 v1 — 检测到企图利用 Apache httpd 服务器（CVE-2024-38475、CVE-2024-38474）

Akamai Adaptive Security Engine 已经针对许多此类漏洞提供保护。然而，根据 Orange Tsai 分享的信息，我们发布了规则 3000950，为客户提供全方位保护，抵御这些威胁。

最有效的防御措施始终是及时安装供应商提供的修补程序。但是，我们深知安全团队需要投入大量的时间和精力来确定容易受到攻击的软件并以安全方式安装修补程序，并且随着应用程序和多变环境的数量不断增加，这些任务也更耗时间和精力。

为了保护企业的资产免受不断增加的威胁的侵扰，深度防御策略仍然至关重要。攻击者会迅速将公开的概念验证纳入其攻击工具集，从而增加了防御者面临的挑战。 

实施 Web 应用程序防火墙如 Akamai App & API Protector，可以增加一层额外的防御层，防范新发现的 CVE，并增加额外的安全缓冲。