Se insta a los usuarios del servidor HTTP Apache que hayan actualizado a la versión 2.4.49, recientemente publicada, a que actualicen inmediatamente a la 2.4.50 para aplicar las correcciones de un día cero recientemente revelado que ya está siendo explotado activamente por agentes maliciosos. El fallo se encontró en un cambio realizado en la normalización de las rutas en la versión afectada de Apache, y podría permitir a un atacante utilizar un ataque de recorrido para asignar URLs a archivos fuera de la raíz del documento esperada.
Comentarios
Traducción automática:
Se insta a los usuarios del servidor HTTP Apache de código abierto que hayan actualizado a la versión 2.4.49, recientemente publicada, a que actualicen inmediatamente a la 2.4.50 para aplicar las correcciones de un día cero recientemente revelado que ya está siendo explotado activamente por agentes maliciosos.
La corrección acelerada, de la que se informó por primera vez hace una semana, el 29 de septiembre, refleja el uso generalizado del software de servidor web gratuito y multiplataforma de la Fundación de Software Apache, que se remonta a mediados de la década de 1990 y fue una fuerza motriz en el rápido desarrollo de la World Wide Web en ese momento. Todavía sirve a una cuarta parte de los sitios web activos en todo el mundo.
Las nuevas versiones abordan dos vulnerabilidades, de las cuales el día cero, rastreado como CVE-2021-41773, es claramente la más apremiante. Fue identificada y revelada por Ash Daulton, del equipo de seguridad de cPanel.
El fallo se encontró en un cambio realizado en la normalización de las rutas en la versión afectada de Apache, y podría permitir a un atacante utilizar un ataque de recorrido para asignar URLs a archivos fuera de la raíz del documento esperada.
Apache dijo que si los archivos fuera de la raíz del documento no están protegidos por "require all denied", tales peticiones pueden tener éxito, y además, el fallo puede filtrar la fuente de los archivos interpretados, como los scripts CGI, a un atacante.
Sólo afecta a la versión 2.4.49 de Apache, que salió el 15 de septiembre, por lo que los usuarios que aún no hayan actualizado a esta versión no están afectados, y deberían pasar directamente a la 2.4.50.
Varios ciberinvestigadores dicen que ya han reproducido la CVE-2021-41773, y están circulando pruebas de concepto.
Ax Sharma, de Sonatype, dijo que, junto con otro problema, también reportado a principios de esta semana, en el que se descubrió que los servidores de Apache Airflow mal configurados estaban filtrando miles de credenciales, el incidente demostró la importancia de parchear rápidamente.
"No hay que subestimar los fallos de cruce de rutas", dijo Sharma. "A pesar de los repetidos recordatorios y avisos emitidos por Fortinet, la vulnerabilidad del cortafuegos VPN (CVE-2018-13379), que tiene años de antigüedad, sigue siendo explotada incluso hoy en día, porque muchas entidades están atrasadas en la aplicación de parches", señaló.
"Este año, los atacantes explotaron la falla de cruce de ruta de Fortinet para filtrar las contraseñas de más de 500,000 VPN. Eso es 10 veces más que el número de cortafuegos de VPN que fueron comprometidos el año pasado a través del mismo exploit", dijo.
Sharma dijo que había tres conclusiones de este incidente, a saber:
* Que la explotación activa sigue rápidamente a las revelaciones, incluso cuando el proceso ha sido bien coordinado y gestionado responsablemente;
* Que los atacantes estarán constantemente pendientes de los exploits públicos y buscarán instancias vulnerables: una búsqueda en Shodan revela más de 100.000 instancias de Apache HTTP Server 2.4.49, 4.000 en el Reino Unido;
* Y que no todas las correcciones son siempre suficientes sólo porque el emisor lo diga: los actores de las amenazas pueden encontrar a menudo soluciones.
Fuga de credenciales
Los investigadores Nicole Fishbein y Ryan Robinson, de Intezer, descubrieron la fuga de credenciales no vinculadas en la plataforma de gestión de flujos de trabajo Airflow de Apache, que es la aplicación de flujos de trabajo de código abierto más recomendada en GitHub.
Al comprobar una configuración errónea en Airflow, Fishbein y Robinson descubrieron varias instancias desprotegidas que exponían credenciales pertenecientes a organizaciones de los sectores de la biotecnología, la ciberseguridad, el comercio electrónico, la energía, las finanzas, la sanidad, las TI, la fabricación, los medios de comunicación y el transporte.
Las credenciales estaban relacionadas con varios servicios, como proveedores de alojamiento en la nube, procesamiento de pagos y plataformas de medios sociales, entre ellos Amazon Web Services (AWS), Facebook, Klarna, PayPal, Slack y WhatsApp.
"Las empresas a las que se les confían grandes volúmenes de datos sensibles de clientes deben ser hipervigilantes en sus procesos de seguridad", dijo el vicepresidente de producto de CloudSphere, Pravin Rasiah.
"Esto incluye seguir las mejores prácticas en relación con la identificación y el tratamiento de cualquier desconfiguración de seguridad que ponga en riesgo los datos en tiempo real. Las desconfiguraciones de seguridad suelen ser el resultado de una visibilidad incompleta de la infraestructura de datos y de la falta de barandillas de autorización de seguridad.
"Lo que puede parecer un simple descuido en las prácticas de codificación, como los investigadores indicaron que era probablemente el caso aquí, puede tener en última instancia repercusiones devastadoras en la reputación de una marca, ya que la confianza de los clientes depende en primer lugar de la seguridad de sus datos", dijo.
"Con una evaluación completa de la postura de seguridad de las aplicaciones alojadas en su entorno de nube, junto con la capacidad de remediar los problemas en tiempo real, las empresas pueden operar con seguridad sin poner en riesgo los datos de los clientes."
Hace tiempo que me pase a nginx que es bastante más ligero que apache...