Sikkerhet

Apache-sårbarhet enda skumlere enn først antatt

Åpner også for fjernkjøring av kode på webserveren.

Sårbarheten i Apache HTTP Server åpner ikke bare for å lese mange filer på serveren, men også å kjøre kode. Heldigvis er en sikkerhetsoppdatering tilgjengelig.
Sårbarheten i Apache HTTP Server åpner ikke bare for å lese mange filer på serveren, men også å kjøre kode. Heldigvis er en sikkerhetsoppdatering tilgjengelig. Illustrasjon: PantherMedia/Sergey Nivens
Harald BrombachHarald Brombach– Journalist
7. okt. 2021 - 17:00

Den mest alvorlige av de to Apache HTTP Server-sårbarhetene som Digi.no omtalte onsdag denne uken, viser seg å være mer alvorlig enn først antatt. I beskrivelsen av sårbarheten heter det at den åpner for sti-traversering og potensiell lesetilgang til langt flere filer på systemet enn dem som er tilgjengelige i dokumentrot-mappen, noe som har blitt utnyttet i faktiske angrep. 

Åpner for fjernkjøring av kode

Men videre undersøkelser fra eksterne sikkerhetsforskere har avdekket at sårbarheten også gjør det mulig å fjernkjøre både innebygde kommandoer og opplastede, kjørbare filer på det sårbare systemet. Dette skriver Bleeping Computer som viser til flere slike konseptbevis som onsdag ble publisert på Twitter.

På Linux-baserte servere vil kjøring av opplastede filer gjerne kreve at angriperen også greier å endre tillatelsen til filen, slik at den blir kjørbar. Dette gjøres typisk med kommandoen chmod +x. På Windows-baserte servere har det blitt demonstrert at det innebygde kalkulatorprogrammet i Windows kan startes ved å besøke en spesifikk nettadresse. 

Karim Khan, som er sjefsanklager ved Den internasjonale straffedomstolen, kan ikke lenger bruke Microsofts e-posttjeneste Outlook.
Les også:

Blokkerer straffedomstol-advokat etter Trump-press

Langt fra alle servere er berørt

Noen forutsetninger må likevel være tilstede

For det første finnes sårbarheten kun i versjon 2.4.49 av HTTP Server. Denne versjonen kom i juni i år, og det er langt fra alle som har tatt den i bruk. 

En annen forutsetning for fjernkjøring av kode, er at støtten for CGI (Common Gateway Interface) er aktivert med modulen mod_cgi. I tillegg må standardinnstillingen «Require all denied» mangle i konfigurasjonen. 

Mange Apache-baserte webservere vil dermed ikke være berørt av sårbarheten, men sårbarheten er ekstremt enkel å utnytte på servere som faktisk er sårbare. 

De som benytter Apache HTTP Server 2.4.49 anbefales derfor å oppdatere til versjon 2.4.50 så raskt som mulig.

Kunder over hele verden kan være berørt av datainnbruddet bilutleiefirmaet Hertz opplevde høsten 2024. Bildet er fra ett av Hertz' utleiesteder ved John F. Kennedy-flyplassen i New York City.
Les også:

Bilutleiefirma rammet av omfattende datainnbrudd

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.