Vulnerabilità Optionsbleed in Apache Httpd
09/22/2017
Proto: N060917.
Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una importante vulnerabilità all’interno del software Apache “httpd”, server HTTP tra i più diffusi per la gestione di servizi e portali web. La criticità è nota con l’identificativo CVE-2017-9798 ed è conosciuta con l’alias Optionsbleed.
A causa di lacune nella gestione della memoria, esistono particolari condizioni in grado di permettere ad un attaccante di rete remoto di estrarre aree di dati arbitrari all’interno della memoria dei servizi “httpd” vulnerabili. Attraverso richieste HTTP appositamente create è possibile infatti estrarre informazioni legate a configurazioni, chiavi di cifratura e/o sessioni presenti all’interno delle aree di memoria utilizzate dal servizio web, comportando rischi per la sicurezza analoghi a quelli delle più note vulnerabilità “Heartbleed” e “Cloudbleed”.
Nel dettaglio, le versioni 2.2.34 e 2.4.x fino a 2.4.27 risultano afflitte dalla vulnerabilità qualora il all’interno di uno dei file “.htaccess” fosse presente una mis-configurazione della direttiva “Limit”, ovvero la presenza di limitazioni per metodi HTTP non supportati. Tuttavia, benché la criticità sia sfruttabile sotto questa particolare condizione esistono contesti di applicazione quali lo “Shared-Hosting” dove un attaccante può volontariamente ricreare le condizioni utili allo sfruttamento della vulnerabilità al fine di estrarre informazioni relativamente ad altri portali di terze parti serviti dalla stessa istanza Apache “httpd” vulnerabile.
Vista la pubblicazione di dettagli tecnici, strumenti di attacco ed il rilievo di campagne di attacco in corso, Yoroi suggerisce di pianificare l’applicazione delle patch di sicurezza (backport per versione 2.2) e/o la verifica di eventuali mis-configurazioni all’interno delle direttive “Limit” dei file “.htaccess”.
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
A causa di lacune nella gestione della memoria, esistono particolari condizioni in grado di permettere ad un attaccante di rete remoto di estrarre aree di dati arbitrari all’interno della memoria dei servizi “httpd” vulnerabili. Attraverso richieste HTTP appositamente create è possibile infatti estrarre informazioni legate a configurazioni, chiavi di cifratura e/o sessioni presenti all’interno delle aree di memoria utilizzate dal servizio web, comportando rischi per la sicurezza analoghi a quelli delle più note vulnerabilità “Heartbleed” e “Cloudbleed”.
Nel dettaglio, le versioni 2.2.34 e 2.4.x fino a 2.4.27 risultano afflitte dalla vulnerabilità qualora il all’interno di uno dei file “.htaccess” fosse presente una mis-configurazione della direttiva “Limit”, ovvero la presenza di limitazioni per metodi HTTP non supportati. Tuttavia, benché la criticità sia sfruttabile sotto questa particolare condizione esistono contesti di applicazione quali lo “Shared-Hosting” dove un attaccante può volontariamente ricreare le condizioni utili allo sfruttamento della vulnerabilità al fine di estrarre informazioni relativamente ad altri portali di terze parti serviti dalla stessa istanza Apache “httpd” vulnerabile.
Vista la pubblicazione di dettagli tecnici, strumenti di attacco ed il rilievo di campagne di attacco in corso, Yoroi suggerisce di pianificare l’applicazione delle patch di sicurezza (backport per versione 2.2) e/o la verifica di eventuali mis-configurazioni all’interno delle direttive “Limit” dei file “.htaccess”.
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
