Apache ออก Patch ใหม่แก้ไขช่องโหว่ Zero-day ที่นำไปสู่ RCE Attacks

Apache Software Foundation ได้เผยแพร่การอัปเดตความปลอดภัยเพิ่มเติมสำหรับ HTTP Server เพื่อแก้ไขสิ่งที่ถูกระบุว่าเป็น "การแก้ไขที่ไม่สมบูรณ์" สำหรับช่องโหว่ Path Traversal และ Remote Code Execution ซึ่งได้รับการแก้ไขไปก่อนหน้านี้

CVE-2021-42013 ช่องโหว่ใหม่นี้ถูกระบุว่าถูกสร้างขึ้นจากช่องโหว่ CVE-2021-41773 ซึ่งเป็นช่องโหว่ Path Traversal ที่อาจทำให้ผู้โจมตีสามารถเข้าถึง และดูไฟล์ที่จัดเก็บบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ โดยจะส่งผลกระทบต่อ Apache web servers เวอร์ชัน 2.4.49
แม้ว่าช่องโหว่นั้นจะได้รับการแก้ไขในเวอร์ชัน 2.4.50 แต่เพียงหนึ่งวันหลังจากมีการปล่อยแพตช์ ช่องโหว่นี้ถูกนำไปใช้ในการทำ Remote Code Execution หากโมดูล "mod_cgi" ถูกโหลดและกำหนดค่า "require all denied" จึงทำให้ Apache ต้องออกการอัปเดตแพตช์ฉุกเฉินอีกรอบ

Apache ได้ให้คำแนะนำสำหรับ "การแก้ไขช่องโหว่ CVE-2021-41773 ใน Apache HTTP Server 2.4.50 นั้นไม่เพียงพอ ผู้โจมตีสามารถใช้การโจมตีแบบ Path Traversal เพื่อจับคู่ URL กับไฟล์ที่อยู่นอกไดเรกทอรีที่กำหนดค่าโดยคำสั่ง Alias-like" หากไฟล์ที่อยู่นอกไดเร็กทอรีเหล่านี้ไม่ได้รับการป้องกันโดยการกำหนดค่า Default 'require all dissolve' คำขอเหล่านี้ก็สามารถดำเนินการได้สำเร็จ หากสคริปต์ CGI ถูกเปิดใช้งานสำหรับ aliased paths ซึ่งจะทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

Apache Software Foundation ให้เครดิต Juan Escobar จาก Dreamlab Technologies, Fernando Muñoz จาก NULL Life CTF Team และ Shungo Kumasaka ในการรายงานช่องโหว่

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) กล่าวว่า "พบการสแกนระบบที่มีช่องโหว่อย่างต่อเนื่อง ซึ่งคาดว่าจะเร็วขึ้น และมีแนวโน้มว่าจะนำไปสู่การโจมตี" จึงแนะนำให้ทุกองค์กรดำเนินการแก้ไขช่องโหว่ทันทีหากยังไม่ได้ดำเนินการ

คำแนะนำ
ผู้ใช้ทุกคนควรอัปเดตเป็นเวอร์ชันล่าสุด (2.4.51) เพื่อลดความเสี่ยงที่เกี่ยวข้องกับช่องโหว่ดังกล่าว

ที่มา: thehackernews.