10 meneos
107 clics
Nueva vulnerabilidad de día cero en servidor HTTP Apache está siendo explotada activamente y debe ser solucionada inmediatamente [ENG]
Se insta a los usuarios del servidor HTTP Apache que hayan actualizado a la versión 2.4.49, recientemente publicada, a que actualicen inmediatamente a la 2.4.50 para aplicar las correcciones de un día cero recientemente revelado que ya está siendo explotado activamente por agentes maliciosos. El fallo se encontró en un cambio realizado en la normalización de las rutas en la versión afectada de Apache, y podría permitir a un atacante utilizar un ataque de recorrido para asignar URLs a archivos fuera de la raíz del documento esperada.
|
comentarios cerrados
Se insta a los usuarios del servidor HTTP Apache de código abierto que hayan actualizado a la versión 2.4.49, recientemente publicada, a que actualicen inmediatamente a la 2.4.50 para aplicar las correcciones de un día cero recientemente revelado que ya está siendo explotado activamente por agentes maliciosos.
La corrección acelerada, de la que se informó por primera vez hace una semana, el 29 de septiembre, refleja el uso generalizado del software de servidor web gratuito y multiplataforma de la Fundación de Software Apache, que se remonta a mediados de la década de 1990 y fue una fuerza motriz en el rápido desarrollo de la World Wide Web en ese momento. Todavía sirve a una cuarta parte de los sitios web activos en todo el mundo.
Las nuevas versiones abordan dos vulnerabilidades, de las cuales el día cero, rastreado como CVE-2021-41773, es claramente la más apremiante. Fue identificada y revelada por Ash Daulton, del equipo de seguridad de cPanel.
El fallo se encontró en un cambio realizado en la normalización de las rutas en la versión afectada de Apache, y podría permitir a un atacante utilizar un ataque de recorrido para asignar URLs a archivos fuera de la raíz del documento esperada.
Apache dijo que si los archivos fuera de la raíz del documento no están protegidos por "require all denied", tales peticiones pueden tener éxito, y además, el fallo puede filtrar la fuente de los archivos interpretados, como los scripts CGI, a un atacante.
Sólo afecta a la versión 2.4.49 de Apache, que salió el 15 de septiembre, por lo que los usuarios que aún no hayan actualizado a esta versión no están afectados, y deberían pasar directamente a la 2.4.50.
Varios ciberinvestigadores dicen que ya han reproducido la CVE-2021-41773, y están circulando pruebas de concepto.
Ax Sharma, de Sonatype, dijo que, junto con otro problema, también reportado a principios de esta semana, en el que se descubrió que los servidores de Apache Airflow mal configurados estaban filtrando miles de credenciales, el incidente demostró la importancia de parchear rápidamente.
"No hay que subestimar los fallos de cruce de rutas", dijo Sharma. "A pesar de los repetidos recordatorios y avisos emitidos por Fortinet, la vulnerabilidad del cortafuegos VPN (CVE-2018-13379), que tiene años de antigüedad, sigue siendo explotada incluso hoy en día, porque muchas entidades están atrasadas en la aplicación de parches", señaló.
"Este año,
… » ver todo el comentario