-
09/04/2020
-
85
-
550 bài viết
Cảnh báo: Lỗ hổng trong máy chủ Apache HTTP đang bị khai thác
Các quản trị viên hệ thống cần cập nhật máy chủ Apache HTTP lên phiên bản mới bởi tin tặc đang dò quét và khai thác các lỗ hổng trong máy chủ web này.
Lỗ hổng CVE-2021-40438 yêu cầu giả mạo phía máy chủ (SSRF) tồn tại trong máy chủ web httpd đã bật mô-đun mod_proxy. Hacker có thể khai thác lỗ hổng nghiêm trọng này bằng cách sử dụng một truy vấn đặc biệt khiến mô-đun mod_proxy chuyển tiếp yêu cầu đến một máy chủ gốc tùy ý.
Lỗ hổng an ninh ảnh hưởng đến phiên bản Apache 2.4.48 hoặc cũ hơn. Apache đã phát hành phiên bản 2.4.49 trong tháng 9 để vá lỗi này.
Nhà cung cấp dịch vụ đám mây Fastly cho biết: “Bằng cách gửi một yêu cầu tự tạo, những kẻ tấn công có thể buộc mô-đun mod_proxy (nếu được bật) gửi các kết nối đến một máy chủ gốc được nhắm mục tiêu, cho phép kẻ tấn công lấy cắp các dữ liệu bí mật (như siêu dữ liệu của cơ sở hạ tầng hoặc các khóa) hoặc truy cập vào các máy chủ nội bộ.”
Một báo cáo tiết lộ rằng có hơn 500.000 máy chủ chạy các phiên bản httpd tồn tại lỗ hổng, nhưng các dịch vụ đám mây như AWS, Microsoft Azure và Google Cloud Platform đã cung cấp các biện pháp bảo vệ chống lại các cuộc tấn công khai thác lỗ hổng này, có nghĩa là CVE-2021-40438 chủ yếu ảnh hưởng đến các tổ chức tự vận hành máy chủ httpd.
Hiện tại đã có PoC (proof-of-concept) cho lỗ hổng này. Gần đây, văn phòng liên bang về bảo mật thông tin (BSI) của Đức và Cisco đã quan sát thấy các cuộc tấn công khai thác lỗ hổng trong thực tế.
Cisco xác nhận một số sản phẩm của công ty cũng bị ảnh hưởng bởi các lỗ hổng trong máy chủ Apache HTTP bao gồm Prime Collaboration Provisioning, Security Manager, Expressway và TelePresence Video Communication Server.
Để đảm bảo an toàn cho hệ thống, WhiteHat khuyến cáo các quản trị viên hãy cập nhật lên phiên bản Apache HTTP 2.4.51 sớm nhất có thể để không trở thành mục tiêu bị tấn công.
Lỗ hổng CVE-2021-40438 yêu cầu giả mạo phía máy chủ (SSRF) tồn tại trong máy chủ web httpd đã bật mô-đun mod_proxy. Hacker có thể khai thác lỗ hổng nghiêm trọng này bằng cách sử dụng một truy vấn đặc biệt khiến mô-đun mod_proxy chuyển tiếp yêu cầu đến một máy chủ gốc tùy ý.
Lỗ hổng an ninh ảnh hưởng đến phiên bản Apache 2.4.48 hoặc cũ hơn. Apache đã phát hành phiên bản 2.4.49 trong tháng 9 để vá lỗi này.
Nhà cung cấp dịch vụ đám mây Fastly cho biết: “Bằng cách gửi một yêu cầu tự tạo, những kẻ tấn công có thể buộc mô-đun mod_proxy (nếu được bật) gửi các kết nối đến một máy chủ gốc được nhắm mục tiêu, cho phép kẻ tấn công lấy cắp các dữ liệu bí mật (như siêu dữ liệu của cơ sở hạ tầng hoặc các khóa) hoặc truy cập vào các máy chủ nội bộ.”
Một báo cáo tiết lộ rằng có hơn 500.000 máy chủ chạy các phiên bản httpd tồn tại lỗ hổng, nhưng các dịch vụ đám mây như AWS, Microsoft Azure và Google Cloud Platform đã cung cấp các biện pháp bảo vệ chống lại các cuộc tấn công khai thác lỗ hổng này, có nghĩa là CVE-2021-40438 chủ yếu ảnh hưởng đến các tổ chức tự vận hành máy chủ httpd.
Hiện tại đã có PoC (proof-of-concept) cho lỗ hổng này. Gần đây, văn phòng liên bang về bảo mật thông tin (BSI) của Đức và Cisco đã quan sát thấy các cuộc tấn công khai thác lỗ hổng trong thực tế.
Cisco xác nhận một số sản phẩm của công ty cũng bị ảnh hưởng bởi các lỗ hổng trong máy chủ Apache HTTP bao gồm Prime Collaboration Provisioning, Security Manager, Expressway và TelePresence Video Communication Server.
Để đảm bảo an toàn cho hệ thống, WhiteHat khuyến cáo các quản trị viên hãy cập nhật lên phiên bản Apache HTTP 2.4.51 sớm nhất có thể để không trở thành mục tiêu bị tấn công.
Theo: securityweek
Chỉnh sửa lần cuối: