Protección contra amenazas de día cero: un exploit en el servidor HTTP de Apache (CVE-2021-41773)

Un ataque de dia cero de tipo path traversal está siendo usado para aprovechar una vulnerabilidad en los servidores HTTP de Apache. Para protegerte contra estas amenazas, puedes usar un WAF avanzado basado en reglas.

Rachel Kempf - Editor-in-Chief
Protección contra amenazas de día cero: un exploit en el servidor HTTP de Apache (CVE-2021-41773)

El 29 de septiembre de 2021, el equipo de seguridad de Apache descubrió una vulnerabilidad de día cero (CVE 2021-41773) que los atacantes aprovechaban para comprometer los servidores web HTTP de Apache y acceder a los archivos confidenciales. La empresa recomendó que cualquier persona que utilizara los servidores Apache con la versión 2.4.49 o 2.4.50 y basados ​​en servidores con sistemas operativos Linux y Windows hiciera una actualización a la versión más reciente, 2.4.51. Las instrucciones se encuentran en el sitio web oficial del proyecto del servidor HTTP de Apache. La nueva versión corrige tanto la vulnerabilidad inicial en la versión 2.4.49 como la corrección incompleta en la versión 2.4.50.

La bueno es que Web Application Firewall (WAF) de Azion ya posee protección contra estos ataques de día cero cuando los conjuntos de reglas para la remote file inclusions (RFI) y el directory traversal están habilitados. Generalmente, recomendamos a todos los clientes definir las sensibilidades del conjunto de reglas de WAF en la opción “máxima” para prevenir las variaciones de amenazas más recientes que existen e incluso de ataques de día cero.

¿Qué es un exploit en el servidor HTTP de Apache?

El servidor HTTP de Apache, de la versión 2.4.49, presentó un cambio realizado en la normalización de la ruta que permite ataques de path traversal (también directorio transversal), el cual permite a los atacantes acceder a archivos y a directorios almacenados fuera de la carpeta raíz de la web (carpeta de nivel superior). Como resultado, los atacantes pueden acceder a directorios que contienen archivos como scripts de CGI o incluso tomar el control del servidor por completo a través de la ejecución remota de código (remote code execution).

  • Path travesal: es un método de ataque que tiene como objetivo acceder a documentos y directorios almacenados fuera de la carpeta raíz de la web por medio de la manipulación de variables en archivos con secuencias que incluyen caracteres de tipo “../” o mediante el uso de rutas absolutas. El objetivo de los atacantes es acceder a archivos y a directorios arbitrarios en el sistema, incluido el código fuente de la aplicación o de una configuración, así como de archivos críticos del sistema.
  • Ejecución remota de código: es un ataque en el que un usuario malicioso obtiene acceso ilegal y, a menudo, de nivel administrativo, con el objetivo de tomar el control del sistema y ejecutar un código no deseado en un servidor vulnerable.

¿Cómo pueden los equipos de seguridad protegerse contra las vulnerabilidades más recientes?

Es una buena práctica actualizar los componentes con un patch o una actualización, cuando uno de ellos esté disponible, para evitar que los atacantes aprovechen las vulnerabilidades conocidas. Sin embargo, mitigar los ataques de día cero requiere métodos de detección proactivos que muchos productos de seguridad no ofrecen.

El WAF de Azion protege contra los ataques de día cero con un enfoque basado en reglas, que no solo es más seguro que los métodos basados en firmas, sino que dispone de un mejor desempeño. En lugar de escanear miles de firmas con componentes de ataque conocidos (un proceso que consume tiempo y recursos), nuestro WAF usa algoritmos para analizar la sintaxis de múltiples patrones de ataque y condensarlos en conjuntos de reglas inteligentes y confiables. Los conjuntos de reglas son activados cuando nuestros usuarios habilitan la opción de Directory Traversal (“path travesal” y “directory travesal” son sinónimos y se usan indistintamente en el área de la seguridad). Cuando una solicitud específica es atendida por estas reglas, se le asigna un puntaje. En el caso de ataques que intenten explotar la vulnerabilidad CVE 2021-41773, cadenas de caracteres como mostradas a continuación aumentan el puntaje de las solicitudes:

  • ..
  • /etc/passwd
  • \\
  • cmd.exe
  • \\
  • /

Cualquier solicitud con puntaje mayor a un determinado límite, en el que los usuarios pueden ajustar de acuerdo a la sensibilidad deseada, será bloqueada automáticamente. Esto permite a nuestro WAF bloquear de forma proactiva las variaciones de los patrones de ataque existentes, e incluso las nuevas amenazas, antes de que sean reconocidas por la comunidad científica de amenazas informáticas. Este enfoque ofrece la protección contra ataques de día cero, así como también que se presente un exploit en el servidor HTTP de Apache, descubierto más recientemente.

Para obtener métodos adicionales de protección en aplicaciones importantes, no busques más allá de la confiable lista de OWASP Top 10. Por ejemplo, los equipos de DevSecOps deben concentrarse continuamente en tomar medidas para prevenir problemas de control de acceso roto (Broken Access Control). Imponer un control de acceso adecuado con políticas, garantiza que los usuarios no actúen fuera de sus permisos asignados y sea aplicado a todos los componentes de la aplicación web: servidores web, sistemas de archivos, puntos finales de API y otros. En el caso de la vulnerabilidad CVE-2021-41773, la configuración correcta de carpetas y scripts (incluido CGI script) fuera de la raíz web para “exigir que todo sea denegado” podría reducir drásticamente la probabilidad de que los atacantes aprovechen con éxito esta vulnerabilidad. El WAF de Azion es también uno de los pocos WAF programables, que permite a los desarrolladores escribir funciones serverless modernas que podrían, por ejemplo, agregar autenticación adicional al usar tokens JWT para proteger las API desprotegidas.

Además, Azion pone a disposición Origin Shield, lo que permite a los desarrolladores ocultar componentes vulnerables (por ejemplo, servidores web HTTP de Apache) de posibles atacantes. Origin Shield crea un perímetro de seguridad para tu infraestructura de origen, ya sea en una nube, un proveedor de alojamiento (host) o tu propio data center. Origin Shield funciona al evitar que los atacantes se dirijan directamente al origen y obliguen al tráfico pasar a través de la edge network distribuida de Azion, el cual cuenta con seguridad de múltiples capas para proteger contra una amplia gama de ataques a la red y a la capa de aplicación de amenazas establecidas y en evolución.

Por último, los productos de Data Stream y Real-Time Metrics de Azion le permiten a nuestros clientes visualizar ataques, tales como CVE-2021-41773 y ser mitigados en tiempo real, lo que ayuda a los clientes a garantizar de que han hecho su parte para evitar fallas de registro y monitoreo de seguridad.

Conclusión

Los incidentes de seguridad como este resaltan la importancia de elegir una solución de seguridad que pueda proteger contra ataques de día cero. Con el WAF de Azion los clientes pueden proteger componentes vulnerables de las aplicaciones, aún si los componentes hayan sido escritos internamente, que contengan o estén basados en bibliotecas de código abierto o de terceros. Además de WAF, Azion brinda una plataforma de edge con seguridad de multicapas disponible a través de Edge Firewall.

Para descubrir cómo la Plataforma de Edge de Azion puede mejorar tu seguridad, comunícate con el equipo de ventas o crea una cuenta gratis para empezar a usar WAF de Azion hoy mismo.

Suscríbete a nuestro boletín informativo