ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
[TLP:WHITE] แจ้งเตือนช่องโหว่ที่มีความรุนแรงระดับร้ายแรง (critical) ของ Apache HTTP server เวอร์ชัน 2.4.49 (CVE-2021-41773)
6 ต.ค.64
Executive Summary
ศูนย์ TTC-CERT ขอแจ้งเตือนช่องโหว่ที่มีความรุนแรงระดับร้ายแรง (critical) ของ Apache HTTP server เวอร์ชัน 2.4.49 (CVE-2021-41773[1] - Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49) ช่องโหว่เกิดขึ้นเนื่องจาก bug เกี่ยวกับวิธีที่ Apache server แปลงค่าระหว่างรูปแบบ URL path scheme ที่แตกต่างกัน (เป็นกระบวนการที่เรียกว่า path or URI normalization[2]) ซึ่งโค้ดส่วนตรวจสอบ URL path ไม่ได้ตรวจสอบในกรณีที่ URL เข้ารหัส (encode) มา ทำให้ผู้โจมตีสามารถใช้ “%2E” หรือ “%2e” แทนจุดเพื่อออกนอก directory ที่กำหนดได้ ส่งผลให้ผู้โจมตีจากระยะไกลสามารถใช้การโจมตีแบบ path traversal attack ในการเข้าถึงไฟล์ที่อยู่นอก directory ที่กำหนดได้โดยไม่ได้รับอนุญาต และอาจส่งผลให้ source code ของไฟล์สคริปต่าง ๆ บน Apache เวอร์ชัน 2.4.49 รั่วไหล เช่น CGI script ซึ่งอาจมีข้อมูล sensitive information ที่ผู้โจมตีสามารถใช้ในการโจมตีระบบอื่น ๆ ต่อไปได้
ช่องโหว่นี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ (unacceptable risk) ต่อองค์กรที่ใช้งาน Apache HTTP Server เวอร์ชั่น 2.4.49 เท่านั้น และต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างเร่งด่วน ทั้งนี้ ในห้วงเวลาที่รายงานฉบับนี้ออก (6 ต.ค.64 เวลา 12.30น.) ทั้งนี้ มีการรายงานถึงการโจมตีช่องโหว่ดังกล่าวใน Internet แล้ว ตลอดจนพบมีการปล่อย proof-of-concept code (PoC) สําหรับการโจมตีช่องโหว่ CVE-2021-40539 ผ่านช่องทางอินเทอร์เน็ตตาม URL ดังต่อไปนี้
- https://github.com/vulhub/vulhub/tree/master/httpd/CVE-2021-41773
- https://github.com/iilegacyyii/PoC-CVE-2021-41773
- https://twitter.com/hackerfantastic/status/1445531829985968137
- https://twitter.com/HackerGautam/status/1445412108863041544
ศูนย์ TTC-CERT ได้จัดทำรายการ Indicators of Compromise (IOCs) และทำการอัพเดทข้อมูลอย่างสม่ำเสมอเพื่อให้สมาชิกสามารถใช้ข้อมูลดังกล่าวเพื่อประโยชน์ขององค์กรต่อไป อย่างไรก็ตามหากองค์กรของสมาชิกได้เชื่อมต่อกับระบบ Platform การแลกเปลี่ยนข้อมูล (MISP) ของศูนย์ TTC-CERT แล้ว ข้อมูลนี้จะถูกส่งไป MISP ขององค์กรท่านโดยอัตโนมัติ
ข้อมูลที่พบจาก threat intelligence
- ช่องโหว่ CVE-2021-41773 ถูกตรวจพบเมื่อวันที่ 29 ก.ย.64 โดยนักวิจัยความมั่นคงปลอดภัยทางไซเบอร์ชื่อ Ash Daulton และ cPanel Security Team หลังจากนั้นเพียง 5 วัน ทาง Apache ได้ออกแพตช์ความปลอดภัยเพื่อป้องกันช่องโหว่ดังกล่าว แต่ข้อมูลจากแหล่งข่าวเปิดรายงานว่าช่องโหว่ดังกล่าวได้ถูกใช้งานในการโจมตีมาก่อนหน้านี้แล้ว
- ศูนย์ TTC-CERT ได้ทำการตรวจสอบข้อมูลบนเว็บไซต์ Shodan (https://www.shodan.io/search?query=apache+2.4.49) พบว่าในประเทศไทยมี Apache server ที่อาจจะมีช่องโหว่ CVE-2021-41773 จำนวน 357 เครื่อง (ข้อมูล ณ วันที่ 6 ต.ค.64 เวลา 11:00 น.)
Software ที่ได้รับผลกระทบ
- Apache server เวอร์ชัน 2.4.49 (มีผลกระทบกับ Apache server เวอร์ชัน 2.4.49 เท่านั้น)
วิธีแก้ปัญหา
- อัปเดต Apache server เป็นเวอร์ชันล่าสุด (2.4.50) จากบริษัทเจ้าของผลิตภัณฑ์ที่ https://httpd.apache.org/download.cgi ทั้งนี้ การแก้ไข Configuration เพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว สมาชิกควรปฎิบัติตาม Change Management Policy และ/หรือ Risk Management Policy และ/หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
วิธีตรวจสอบว่าหน่วยงานถูกโจมตีหรือได้รับความเสียหายจากการถูกโจมตี
- วิธีที่ 1 ตรวจสอบ Apache access.log ว่ามีการส่ง Request ที่มีรูปแบบคล้ายๆ กับ %2E%2E/%2E%2E หรือ %2e%2e/%2e%2e อยู่ในไฟล์ log ดังกล่าวหรือไม่
- วิธีที่ 2 ตรวจสอบจาก SIEM จากการแปลง Sigma Rule โดย Florian Roth[3]
title: CVE-2021-41773 Exploitation Attempt id: 3007fec6-e761-4319-91af-e32e20ac43f5 status: experimental description: Detects exploitation of flaw in path normalization in Apache HTTP server 2.4.49. An attacker could use a path traversal attack to map URLs to files outside the expected document root. If files outside of the document root are not protected by "require all denied" these requests can succeed. Additionally this flaw could leak the source of interpreted files like CGI scripts. This issue is known to be exploited in the wild. This issue only affects Apache 2.4.49 and not earlier versions. author: daffainfo, Florian Roth date: 2021/10/05 references: - https://nvd.nist.gov/vuln/detail/CVE-2021-41773 - https://github.com/apache/httpd/commit/e150697086e70c552b2588f369f2d17815cb1782 - https://twitter.com/ptswarm/status/1445376079548624899 - https://twitter.com/h4x0r_dz/status/1445401960371429381 - https://github.com/projectdiscovery/nuclei-templates/blob/master/cves/2021/CVE-2021-41773.yaml logsource: category: webserver detection: selection: c-uri|contains: '/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e' selection_success: sc-status: - 200 - 301 condition: selection and selection_success false_positives: - Unknown tags: - attack.initial_access - attack.t1190 level: critical |
Indicators of Compromise
- Scanning for Apache HTTP servers vulnerable to CVE-2021-41773
- 157[.]230[.]15[.]72
- 157[.]245[.]157[.]27
- 143[.]110[.]177[.]244
- 35[.]240[.]246[.]142
- 35[.]247[.]182[.]185
- 34[.]126[.]180[.]214
- 49[.]228[.]17[.]43
ข้อมูลอ้างอิง
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://www.tenable.com/blog/cve-2021-41773-path-traversal-zero-day-in-apache-http-server-exploited
- https://blog.sonatype.com/apache-servers-actively-exploited-in-wild-importance-of-prompt-patching
- https://lists.apache.org/thread.html/r6abf5f2ba6f1aa8b1030f95367aaf17660c4e4c78cb2338aee18982f@%3Cusers.httpd.apache.org%3E
- https://lists.apache.org/thread.html/r98d704ed4377ed889d40479db79ed1ee2f43b2ebdd79ce84b042df45@%3Cannounce.apache.org%3E
- https://www.bleepingcomputer.com/news/security/apache-fixes-actively-exploited-zero-day-vulnerability-patch-now/
/
[1] "CVE-2021-41773 - The MITRE Corporation." 5 Oct. 2021, https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41773. Accessed 6 Oct. 2021.
[2] "URI normalization - Wikipedia." https://en.wikipedia.org/wiki/URI_normalization. Accessed 6 Oct. 2021.
[3] "cyb3rops - Florian Roth - Twitter." https://twitter.com/cyb3rops?lang=eu. Accessed 6 Oct. 2021.