نماد سایت اتاق خبر شبکه گستر

سوءاستفاده مهاجمان از دو آسیب‌پذیری روز-صفر آپاچی

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده جزییات نسخه جدید  Apache HTTP Server مورد بررسی قرار گرفته است.

در پی شناسایی وجود یک آسیب‌پذیری در دو نسخه اخیر Apache HTTP Server، بنیاد نرم‌افزاری آپاچی (Apache Software Foundation) با انتشار نسخه‌ای جدید نسبت به وصله آن اقدام کرده است.

Apache HTTP Server یک سرویس‌دهنده وب چندبستری است که در میزبانی حدود 25 درصد از سایت‌های موجود در اینترنت نقش دارد.

12 مهر، بنیاد آپاچی با انتشار نسخه 2.4.50 این محصول از ترمیم یک آسیب‌پذیری پویش مسیر (Path Traversal) با شناسه CVE-2021-41773 خبر داد. سوءاستفاده از ضعف مذکور دسترسی به محتوای فایل‌های ذخیره شده بر روی سرور آسیب‌پذیر را برای مهاجمان فراهم می‌کرد. بر اساس توضیحات این بنیاد، تنها نسخه 2.4.49 از آسیب‌پذیری CVE-2021-41773 متاثر می‌شود. با این توضیح که بهره‌جویی از آسیب‌پذیری مذکور در صورتی موفق خواهد بود که قابلیت “Require all denied” فعال نباشد. ضمن آنکه سوءاستفاده موفق از CVE-2021-41773 می‌تواند منجر به نشت کد منبع (Source Code) فایل‌هایی نظیر اسکریپت‌های CGI شود.

بر اساس آمار موتور جستجوگر Shodan بیش از 112 هزار سرور آسیب‌پذیر Apache HTTP Server بر روی اینترنت قابل دسترس هستند و ممکن است هر یک از آنها مورد نفوذ مهاجمان قرار گرفته یا در آینده‌ای نزدیک قرار بگیرند.

 

 

خیلی زود پس از انتشار نسخه 2.4.50، محققان امنیتی از آسیب‌پذیری این نسخه جدید خبر دادند و نمونه‌هایی از بهره‌جوهای قابل اجرا نیز بر روی اینترنت در دسترس قرار گرفت. سوءاستفاده از این آسیب‌پذیری جدید که به آن شناسه CVE-2021-42013 تخصیص داده شده می‌تواند در صورت غیرفعال بودن گزینه “Require all denied” منجر به اجرای کد به‌صورت از راه دور بر روی سرور شود.

به منظور وصله کردن این آسیب پذیری روز-صفر جدید، بنیاد آپاچی در 15 مهر ماه اقدام به انتشار نسخه 2.4.51 کرد.

بر طبق توصیه‌نامه آپاچی، مهاجم با اجرای یک حمله پویش مسیر می‌تواند در صورت غیرفعال بودن گزینه “Require all denied” با تطابق نشانی‌های URL به فایل‌‌هایی خارج از پوشه‌های Alias—like دسترسی پیدا کند.

هر دو آسیب‌پذیری CVE-2021-41773 و CVE-2021-42013 توسط مهاجمان در حال بهره‌جویی هستند. لذا به تمامی راهبران Apache HTTP Server توصیه اکید می‌شود که در صورت استفاده از هر یک از نسخ 2.4.49 و 2.4.50 در اسرع وقت نسبت به ارتقای این محصول به نسخه 2.4.51 اقدام کنند.

توصیه‌نامه آپاچی در لینک زیر قابل مطالعه است:

https://httpd.apache.org/security/vulnerabilities_24.html

خروج از نسخه موبایل