เมื่อวันที่ 5 ตุลาคม ที่ผ่านมานั้นทาง Apache Software ได้ทำการเผยแพร่ Apache HTTP Server Version ใหม่คือ Version 2.4.50 ออกมาอย่างรวดเร็ว เพื่อทำการแก้ไขข้อบกพร่องด้านความปลอดภัย zero-day security นั้นก็คือ CVE-2021-41773 หลังจากที่เพิ่งจะได้รับรายงานเกี่ยวกับช่องโหว่นี้ครั้งแรกไปยัง Apache Software เมื่อสัปดาห์ที่แล้ว โดยช่องโหว่นี้มีคะแนน CVSS Score อยู่ที่ 5.1/10 คะแนน

โดยสำหรับช่องโหว่ดังกล่าวนี้จะพบว่ามีปัญหากับเว็บเซิร์ฟเวอร์โอเพ่นซอร์สของ Apache HTTP Server ในเวอร์ชัน 2.4.49 ที่เพิ่งถูกปล่อยออกมาเมื่อวันที่ 15 กันยายน 2564 เท่านั้น แต่ไม่พบปัญหาช่องโหว่นี้ใน Apache HTTP Server เวอร์ชันก่อนหน้านี้เลย โดยในเวอร์ชัน 2.4.49 นั้นเป็นเวอร์ชันที่มีความสามารถในการ cross-platform กับระบบปฏิบัติการสมัยใหม่ได้ทั้งหมด รวมถึง UNIX และ Windows

วิธีการและความเสียหายจากช่องโหว่ CVE-2021-41773

ช่องโหว่ CVE-2021-41773  นี้ปัญหาเกิดจากการ Parsing ที่ผิดพลาด ซึ่งส่งผลทำให้เกิดช่องโหว่ LFI  หรือชื่อเต็มคือ Local File Inclusion คือช่องโหว่ในการเข้าถึงไฟล์ภายในเครื่อง ช่องโหว่นี้จะอนุญาตให้ผู้โจมตีสามารถเข้าถึงไฟล์ข้อมูลต่าง ๆ ได้ โดยที่ผู้โจมตีจะใช้การโจมตีแบบ Path Traversal

วิธีการโจมตีแบบ Path Traversal คือผู้โจมตีจะลองเดาสุ่มพิมพ์ Path หรือ Sub Directory ลงไปในช่อง URL จนสามารถ Map และจับคู่ URL กับไฟล์จนสำเร็จ และเข้าถึงไฟล์บนเว็บเซิร์ฟเวอร์ที่อยู่นอกเหนือจาก Document root ได้

ไฟล์ที่อยู่นอก Document root นั้นๆ จะต้องไม่ได้รับการป้องกัน หมายความว่ามีการเปลี่ยนการตั้งค่าพารามิเตอร์จาก “require all denied” เป็น “ Require all granted ” ไว้ที่ส่วนของ

การตั้งค่า ที่ควรจะเป็น

AllowOverride none

require all denied

แต่หากเกิดมีการเปลี่ยนการตั้งค่าเป็น Require all granted ดังด้านล่าง

AllowOverride none

Require all granted

หากผู้โจมตีทำเช่นนี้ จะทำให้เกิดช่องโหว่ LFI ทันที และทำให้คำขอของผู้โจมตีเหล่านั้นประสบความสำเร็จและสามารถเข้าถึงไฟล์ดังกล่าวได้  แต่ส่วนใหญ่หากติดตั้ง Apahce HTTP Server แล้ว Default จะไม่ได้รับผลกระทบแต่อย่างใด เนื่องจากใน Default นั้น กำหนดไว้ว่า Directive ที่ / นั้นเป็น “require all denied”

การจำลองช่องโหว่ CVE-2021-41773 Path Traversal ใหม่ใน Apache 2.4.49 [3]

การจำลองช่องโหว่ CVE-2021-41773 Path Traversal ใหม่ใน Apache 2.4.49 [3]

นอกจากนี้  Bug ดังกล่าวยังสามารถเปิดเผยแหล่งที่มาของไฟล์ที่เข้าถึงได้อีกด้วย เช่น สคริปต์ CGI ซึ่งอาจมีข้อมูลที่ละเอียดอ่อน ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากการโจมตีเพิ่มเติมได้ โดยทาง Apache นั้นได้ให้เครดิตแก่ Ash Daulton และทีม cPanel Security สำหรับการรายงานจุดบกพร่องนี้ให้กับทาง Apache

Tenable ตั้งข้อสังเกตว่าจากการค้นหา Shodan พบว่ามีเซิร์ฟเวอร์ Apache HTTP ประมาณ 112,000 เครื่องที่ยืนยันว่าใช้เวอร์ชัน 2.4.49 ที่มีปัญหาช่องโหว่นี้ และมากถึง 43,000 เครื่องในสหรัฐอเมริกา

Shodan พบว่ามีเซิร์ฟเวอร์ Apache HTTP

วิธีการป้องกันช่องโหว่ CVE-2021-41773

ผู้ใช้สามารถป้องกันตัวเองได้โดยอัปเกรดเป็นเวอร์ชัน 2.4.50 และควรสังเกตว่า “require all denied” นั้นเป็นค่าเริ่มต้นสำหรับการปกป้อง document root ของเว็บแล้วหรือไม่ เนื่องจากนักวิจัยได้รายงานว่าสิ่งนี้จะสามารถช่วยลดปัญหาได้

นอกจากนี้ยังมีการค้นพบอีกหนึ่งช่องโหว่ที่เกิดในตัว Apache HTTP Server เวอร์ชัน 2.4.49  คือ CVE-2021-41524 โดยในขณะที่ fuzzing 2.4.49 httpd ตรวจพบการ null pointer dereference ระหว่างการประมวลผลคำขอ  HTTP/2 Request ที่อาจนำไปสู่การโจมตีแบบ DoS (Denial-of-service attack) เซิร์ฟเวอร์ได้ ซึ่งล่าสุดยังไม่พบว่าช่องโหว่นี้ถูกนำมาใช้สำหรับการโจมตี

ดังนั้นแล้วผู้ใช้ทุกคนควรตรวจสอบให้แน่ใจว่าอัปเดตเป็น Apache HTTP Server เวอร์ชันล่าสุดแล้ว เพราะในวันที่ 7 ตุลาคมที่ผ่านมาทาง Apache Software นั้นได้เผยแพร่ Apache HTTP เวอร์ชัน 2.4.51 ออกมาเรียบร้อยแล้ว

ผู้เชี่ยวชาญจาก INETMS พร้อมให้คำปรึกษา และแก้ไขปัญหาด้าน Security สนใจบริการ บริการ Managed Security Service Provider (MSSP) อ่านรานละเอียดเพิ่มเติม  คลิกที่นี่

อ้างอิง

[1] https://threatpost.com/apache-web-server-zero-day-sensitive data/175340/?fbclid=IwAR0vx8aKTA6-wwEyVc6DPP40TcjP6UVg-8lSt0YqMHXx8lDx_j4XXq9GAL8

[2] https://www.tenable.com/blog/cve-2021-41773-path-traversal-zero-day-in-apache-http-server-exploited?fbclid=IwAR0PnJU1ITBqMDZt-ZotnJYc2_hbjQeaq1dKYsP7-CzopSOxICXkvfQ8S4w

[3] https://twitter.com/ptswarm/status/1445376079548624899?s=20

[4] https://httpd.apache.org/security/vulnerabilities_24.html?fbclid=IwAR3E0xBgBzmgZdCyyJKZF8Xe35c2fvbAJuz0bJcYd3yRVH3AdCkoK5UF4c0

[5]  https://www.bleepingcomputer.com/news/security/apache-fixes-actively-exploited-zero-day-vulnerability-patch-now/?fbclid=IwAR1DXViMvn508EmsNCVbn6geIJQDIPj0E-4YgQquB_c5eT5692ySPEIf8eg

[6] https://nvd.nist.gov/vuln/detail/CVE-2021-41524