Vulnerabilidad del servidor HTTP Apache bajo ataque activo

Los expertos en seguridad instan a los administradores a actualizar sus instalaciones de Apache HTTP Server luego de la divulgación de una vulnerabilidad de día cero que había sido atacada.

Se insta a las empresas que operan las instalaciones del servidor HTTP Apache a actualizar su software luego de la divulgación de una vulnerabilidad que potencialmente puede permitir la ejecución remota de código.

Potencialmente, decenas de miles de servidores web son vulnerables a los ataques a CVE-2021-41773 , una vulnerabilidad que, según la Fundación Apache, ya estaba bajo explotación activa a principios de esta semana cuando se reveló y parcheó por primera vez.

Oficialmente catalogado como un error de recorrido de ruta que brinda a los atacantes la capacidad de ver la ubicación de los archivos sin permiso, el error ha sido confirmado por varios investigadores para permitir la ejecución remota de código. Esto podría dar a los actores de amenazas un control total del servidor.

A Ash Daulton del equipo de seguridad de cPanel se le atribuyó el mérito de haber descubierto e informado la falla a Apache.

La vulnerabilidad se puede cerrar actualizando Apache HTTP Server a la versión 2.4.50. También se solucionó un segundo defecto, CVE-2021-41524. No se creía que esa vulnerabilidad, un error de denegación de servicio causado por un puntero nulo al que se hace referencia, estuviera bajo un exploit activo.

La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió un aviso el miércoles instando a las organizaciones a parchear ambas vulnerabilidades y advirtió que CVE-2021-41773 estaba bajo explotación activa.

No se sabe cuántos ataques tuvieron lugar antes de que se informara por primera vez del error. Sin embargo, los grupos que monitorean los ataques dicen que desde que se publicó el boletín, los atacantes se han apoderado de la falla al escanear servidores vulnerables e intentar exploits.

Troy Mursch, director de investigación de Bad Packets, dijo a SearchSecurity que la red de monitoreo de su compañía registró un fuerte aumento en la actividad contra la falla a partir del martes por la noche cuando se difundió la noticia del potencial de explotación del error.

«Además, hemos visto actividad de un host en Rusia que verifica la ejecución remota de código [RCE] a través de la ruta» / bin / sh «», explicó Mursch.

«Es importante señalar esto, ya que la divulgación de CVE-2021-41773 no indicó claramente que la vulnerabilidad puede conducir a RCE, lo que hace que sea mucho más crítico e importante parchear de inmediato», dijo.

Si bien el parche está disponible, tomarse el tiempo para eliminar y actualizar un servicio vital como el servidor HTTP Apache podría ser difícil para muchas empresas que buscan evitar el tiempo de inactividad. Esto podría dejar a numerosos servidores conectados a Internet vulnerables a ataques mientras los administradores esperan el mejor momento para instalar las correcciones.

No han sido unas semanas fáciles para ser administrador de servidor, especialmente en el frente de la seguridad. A finales de septiembre, Microsoft se vio obligado a salir de banda con el lanzamiento de una herramienta de mitigación para una vulnerabilidad explotada activamente en Exchange Server . Mientras tanto, el notorio equipo de piratería de Nobelium fue visto empuñando un nuevo y sofisticado malware de puerta trasera contra los servidores de Active Directory Federation Services.

fuente:searchsecurity.techtarget.com/

Comments are closed.