CCN-CERT AL 08/21 Vulnerabilidades en Apache

CCN-CERT AL 08/21 Vulnerabilidades en Apache (08/10/2021)

 
Cabecera
separador
Vulnerabilidades en Apache (2)

Fecha de publicación: 08/10/2021
Nivel de peligrosidad: CRÍTICO

  • El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, complementa su alerta con la siguiente actualización sobre vulnerabilidades en Apache.

El CCN-CERT, Centro Criptológico Nacional, informa sobre la actualización de la alerta lanzada el 6 de octubre sobre la publicación de dos vulnerabilidades que afectan a Apache server HTTP. El parche inicial era incompleto y es necesario instalar el 2.4.51.

Referencias:

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 

 

CCN-CERT AL 08/21 Vulnerabilidades en Apache

 
Cabecera
separador
Vulnerabilidades en Apache

Fecha de publicación: 06/10/2021
Nivel de peligrosidad: CRÍTICO

  • El CCN-CERT, Centro Criptológico Nacional, avisa de la publicación de dos vulnerabilidades que afectan a Apache server HTTP.                            

Se han hecho públicas dos vulnerabilidades en Apache que afectan a Apache server HTTP, servidor web multiplataforma de código abierto que es extremadamente popular por su gran versatilidad. Estas vulnerabilidades fueron descubiertas, y notificadas a la compañía, por el investigador de seguridad Ash Daulton y el equipo de seguridad de cPanel a finales del mes de septiembre. Entre los dos errores reportados, destaca una vulnerabilidad, a la que se le ha asignado el CVE-2021-41773, y que permite asignar URL a archivos fuera de la raíz del documento mediante un ataque transversal de ruta. La posibilidad de explotar esta vulnerabilidad depende en gran medida de cómo los usuarios hayan configurado el servidor. En una instalación predeterminada, un atacante podría usar esta vulnerabilidad para obtener el código fuente de archivos interpretados como scripts CGI. Los investigadores que reportaron estos fallos aseguran que han podido reproducir la vulnerabilidad, por lo tanto, se puede estar explotando de forma activa.

Imagen 1: Tweet indicando el descubrimiento de la vulnerabilidad

Ambas vulnerabilidades afectan a la versión 2.4.49 del servidor web HTTP, lanzado sólo hace unas semanas, y es probable que muchos usuarios no hayan actualizado a una versión más reciente. El descubrimiento de estas vulnerabilidades cobra relativa importancia, debido a que, como se muestra en la siguiente imagen, hay más de cien mil implementaciones de Apache HTTP Server 2.4.49 en línea.

Imagen 2: implementaciones Apache Server HTTP 2.4.49

A continuación se detallan los aspectos técnicos conocidos a día de hoy de estas dos vulnerabilidades:

  • CVE-2021-41773: vulnerabilidad que existe debido a un error de validación de entrada al procesar las secuencias de cruce de directorios. Un atacante remoto puede enviar una petición HTTP especialmente diseñada para mapear URL’s a archivos fuera de la raíz del documento. La explotación exitosa de esta vulnerabilidad permite a un atacante remoto realizar ataques de cruce de directorios.
  • CVE-2021-41524: vulnerabilidad que se aprovecha de un error de desviación del puntero NULL al procesar solicitudes HTTP/2. Un atacante remoto puede enviar una solicitud HTTP/2 especialmente diseñada al servidor HTTP Apache afectado y realizar un ataque de denegación de servicio (DoS).

La base de datos del NIST ha registrado estas vulnerabilidades pero, por el momento, no les ha asignado puntuación de acuerdo a la escala CVSSv3. Sin embargo, se han catalogado por parte de la compañía con una severidad crítica, puesto que pueden estar siendo explotadas de forma activa. Hasta la fecha no se han publicado pruebas de concepto (PoC) con los detalles de los fallos publicados.

Recursos afectados:    

Estas vulnerabilidades afectan a las siguientes versiones de Apache: 

  • Apache HTTP Server versión 2.4.49

Solución a las vulnerabilidades:

Según el aviso publicado por el propio fabricante, la siguiente actualización soluciona las vulnerabilidades descritas.

  • Actualizar a Apache HTTP Server versión 4.50.

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se conocen medidas de mitigación alternativas para solucionar estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.

Referencias:

Atentamente,

Equipo CCN-CERT

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

 Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
       
© 2021 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
 
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Ministerio de Defensa
CNI
CCN
CCN-CERT