Apache corrige une vulnérabilité zero-day activement exploitée

L'Apache Software Foundation a publié la version 2.4.50 du serveur Web HTTP pour corriger deux vulnérabilités, dont l'une est une faille de traversée de répertoires activement exploitée et de divulgation de fichiers.

La vulnérabilité zero-day activement exploitée est suivie en tant que CVE-2021-41773 et elle permet aux cybercriminels de mapper des URL vers des fichiers en dehors de la racine du document attendue en lançant une attaque par traversée de répertoires.

Les attaques par traversée de répertoires impliquent l'envoi de requêtes pour accéder à des répertoires de serveur principal ou sensibles qui devraient être hors de portée. Normalement, ces requêtes sont bloquées, mais dans ce cas, les filtres sont contournés en utilisant des caractères codés (ASCII) pour les URL.

De plus, les exploits de cette faille peuvent conduire à la fuite de la source de fichiers interprétés tels que des scripts CGI.

Pour que l'attaque fonctionne, la cible doit exécuter Apache HTTP Server 2.4.49 et doit également désactiver le paramètre de contrôle d'accès « exiger tous les refus ». Malheureusement, cela semble être la configuration par défaut.

Les versions antérieures d'Apache Server ou celles ayant une configuration d'accès différente ne sont pas vulnérables à cette faille.

Depuis la divulgation de la vulnérabilité, les chercheurs en sécurité ont pu reproduire la vulnérabilité et ont averti que les administrateurs devaient immédiatement la corriger.

La vulnérabilité a été découverte et signalée à Apache par le chercheur en sécurité Ash Daulton et l'équipe de sécurité cPanel le 29 septembre 2021. Étant une faille activement exploitée, le correctif est venu assez rapidement.

La deuxième vulnérabilité est CVE-2021-41524, un déréférencement de pointeur nul détecté lors du traitement des requêtes HTTP/2. Cette faille permet à un attaquant d'effectuer une attaque par déni de service (DoS) sur le serveur.

Cette faille n'existe également que dans la version 2.4.49 du serveur Apache, mais elle n'est pas en cours d'exploitation. Elle a été découverte il y a trois semaines, corrigé à la fin du mois dernier et incorporé maintenant dans la version 2.4.50.