آپاچی

Mark J Cox، یکی از اعضای بنیان‌گذار بنیاد نرم‌افزار آپاچی و پروژه OpenSSL، در تاریخ ۲ آوریل ۲۰۱۹ توسط یک توییت[۱] در مورد یک نقص مهم اخیر در نرم‌افزار Apache HTTP Server هشدار داد.

وب سرور آپاچی یکی از محبوب‌ترین و گسترده‌ترین وب سرورهای منبع باز در جهان است که تقریباً ۴۰ درصد از کل اینترنت را پشتیبانی می‌کند.

این آسیب‌پذیری که به نام CVE-2019-0211 شناسایی شده است، توسط Charles Fol، یک مهندس امنیتی در شرکت امنیت Ambionics، کشف شده است و توسط توسعه‌دهندگان آپاچی در آخرین نسخه یعنی نسخه ۲٫۴٫۳۹ از این نرم‌افزار که به‌تازگی منتشر شده است، وصله شده است.

این نقص روی نسخه ۲٫۴٫۱۷ آپاچی HTTP Server تا نسخه ۲٫۴٫۳۸ اثرگذار است و می‌تواند هر کاربر دارای سطح اختیارات پایین را مجاز به اجرای کد دلخواه با امتیازات ریشه در سرور هدف کند.

در گزارش منتشر شده دراین‌باره آمده است[۲]: “در Apache HTTP Server نسخه ۲٫۴٫۱۷ تا ۲٫۴٫۳۸، با رویداد MPM، worker یا prefork، می‌تواند کد دلخواه را با امتیازات فرآیند اصلی (معمولاً ریشه) و با دست‌کاری scoreboard اجرا کند. سیستم‌های غیر یونیکس تحت تأثیر قرار نمی‌گیرند.”

اگرچه این محقق هنوز کد بهره‌بردار (PoC) را برای این نقص ارائه نکرده است، امروز یک پست وبلاگ را منتشر کرد[۳] که توضیح می‌دهد چگونه یک مهاجم می‌تواند از این نقص در ۴ مرحله بهره‌برداری کند:

  • به دست آوردن دسترسی R/W روی یک فرآیند worker
  • نوشتن یک ساختار prefork_child_bucket جعلی در SHM
  • ساختن all_buckets[bucket] point روی ساختار
  • منتظرشدن تا ۶:۲۵ صبح برای دریافت یک تماس عملکرد دلخواه

طبق گفته Cox، این آسیب‌پذیری بیشتر مربوط به خدمات میزبانی وب است که در آن مشتریان موذی یا یک هکر که توانایی اجرای اسکریپت‌های PHP یا CGI را در یک وب‌سایت دارد، می‌توانند از نقص دسترسی ریشه در سرور استفاده کنند و درنهایت دیگر وب‌سایت‌های میزبانی‌شده در همان سرور را نیز در معرض خطر قرار دهند.

علاوه بر این، آخرین نسخه Apache httpd یعنی نسخه ۲٫۴٫۳۹ همچنین سه مسئله دیگر دارای اهمیت پایین و دو مسئله مهم دیگر را نیز وصله کرده است.

دومین نقص مهم (CVE-2019-0217) می‌تواند به یک کاربر با گواهی‌نامه‌ی معتبر اجازه دهد تا برای احراز هویت با استفاده از یک نام کاربری دیگر، محدودیت‌های کنترل دسترسی پیکربندی‌شده را دور بزند.”

سومین آسیب‌پذیری، یک دور زدن کنترل دسترسی mod_ssl است (CVE-2019-0215). یک خطا در mod_ssl هنگام استفاده از تأیید گواهی‌نامه per-location با TLSv1.3 اجازه می‌دهد که یک مشتری با پشتیبانی از Authentication Post-Handshake، محدودیت‌های کنترل دسترسی پیکربندی را دور بزند.”

ما دیده‌ایم که چگونه افشای اطلاعات درگذشته و مربوط به نقص‌های شدید در framework های برنامه‌های کاربردی وب[۴] موجب شده است که بهره‌بردارهای PoC در یک روز منتشر شود و در سطح اینترنت مورد بهره‌برداری قرار گیرد[۵] و زیرساخت‌های حیاتی و همچنین داده‌های مشتریان را در معرض خطر قرار دهد.

بنابراین به خدمات میزبانی وب و سازمان‌هایی که سرورهای خود را مدیریت می‌کنند و مدیران وب‌سایت‌ها به‌شدت توصیه می‌شود که Apache HTTP خود را به آخرین نسخه و در اسرع وقت ارتقا دهند.

منابع

[۱] https://twitter.com/iamamoose/status/1112966189276389376

[۲] https://httpd.apache.org/security/vulnerabilities_24.html

[۳] https://cfreal.github.io/carpe-diem-cve-2019-0211-apache-local-root.html

[۴] https://apa.aut.ac.ir/?p=5482

[۵] https://apa.aut.ac.ir/?p=2351

[۶] https://thehackernews.com/2019/04/apache-web-server-security.html