No dia 29 de setembro de 2021, a equipe de segurança do Apache descobriu uma vulnerabilidade de zero-day (CVE 2021-41773) que invasores estavam explorando para comprometer servidores web Apache HTTP e acessar arquivos confidenciais. É recomendado pela empresa que qualquer pessoa usando servidores Apache 2.4.49 ou 2.4.50 baseados em servidores Linux e Windows atualizem para a versão mais recente, 2.4.51, usando as instruções encontradas no site oficial do projeto Apache HTTP Server. Esta nova versão corrige a vulnerabilidade inicial na versão 2.4.49 e a correção incompleta na versão 2.4.50.
A boa notícia é que o Web Application Firewall da Azion já protege contra esse ataque zero-day quando os conjuntos de regras Remote File Inclusions (RFI) e Directory Traversal estão habilitados. Geralmente, recomendamos que todos os clientes definam as sensibilidades do conjunto de regras WAF para a opção “Highest” para evitar as variações mais recentes de ataques, inclusive os ataques zero-day.
O que é o Apache HTTP Server Exploit?
O Apache HTTP Server 2.4.49 apresentou uma alteração feita na normalização de caminho que permite ataques path traversal, que deixam os invasores terem acesso a arquivos e diretórios armazenados fora da pasta raiz (root) da web. Como resultado, os invasores podem acessar diretórios contendo arquivos como scripts CGI ou até mesmo assumir completamente o controle do servidor por meio da execução remota de código.
- Path Traversal: uma técnica de ataque que visa acessar arquivos e diretórios armazenados fora da pasta raiz (root) da web, manipulando variáveis que fazem referência a arquivos com sequências “../” ou usando caminhos de arquivo absolutos. O objetivo dos agentes de ameaças aqui seria acessar arquivos e diretórios arbitrários no sistema de arquivos, incluindo o código-fonte da aplicação ou configuração e arquivos críticos do sistema.
- Execução remota de código: ataque no qual um agente de ameaça obtém acesso ilegal e, muitas vezes, administrativo a um sistema, com o objetivo de assumir o controle e executar um código indesejado em um servidor vulnerável.
Como as equipes de segurança podem se proteger contra as vulnerabilidades mais recentes?
É uma boa prática atualizar os componentes com um patch ou upgrade, quando algum deles estiver disponível, para evitar que os invasores explorem vulnerabilidades conhecidas. Mas, mitigar os ataques de zero-day requer métodos de detecção proativos que muitos produtos de segurança não oferecem.
O WAF da Azion protege contra ataques zero-day com uma abordagem baseada em regras que não é apenas mais segura do que os métodos baseados em assinatura, mas também tem mais desempenho. Em vez de verificar milhares de assinaturas com componentes de ataque conhecidos (um processo que consome tempo e recursos), nosso WAF usa algoritmos para analisar a sintaxe de vários padrões de ataque e condensá-los em conjuntos de regras inteligentes e enxutos, ativados quando nossos usuários habilitam a opção Directory Traversal (“path traversal” e “directory traversal” são sinônimos e usados alternadamente nessa área). Quando uma requisição específica é atendida por essas regras, ela é atribuída por score. No caso de ataques que tentam explorar CVE 2021-41773, cadeias de caracteres como as seguintes aumentariam o score de requisições:
- ..
- /etc/passwd
- c:\\
- cmd.exe
- \\
- /
Qualquer requisição com score acima de um determinado limite, que os usuários podem ajustar de acordo com a sensibilidade desejada, será bloqueada automaticamente. Isso permite que nosso WAF bloqueie proativamente variações nos padrões de ataque existentes - e até mesmo novas ameaças - antes de serem reconhecidas pela comunidade de pesquisa de ameaças, permitindo proteção contra ataques zero-day, como a exploração do servidor Apache HTTP descoberta mais recentemente.
Para métodos adicionais de proteção a aplicações importantes, não procure além da sua lista confiável dos 10 principais OWASP. Por exemplo, DevSecOps devem se concentrar continuamente em tomar medidas para evitar Broken Access Control. Reforçar um controle de acesso adequado com políticas, garante que os usuários não possam agir fora de suas permissões pretendidas e se aplica a todos os componentes da aplicação da web: servidores, sistemas de arquivos, API endpoints, etc. No caso CVE-2021-41773, configurar pastas e scripts (incluindo CGI scripts) corretamente fora da web raiz (root) para “require all denied” pode reduzir drasticamente a probabilidade de invasores explorarem a vulnerabilidade com êxito. O Azion WAF também é um dos poucos WAFs programáveis, permitindo aos desenvolvedores escrever funções modernas e serverless que poderiam, por exemplo, adicionar autenticação adicional usando tokens JWT para proteger APIs desprotegidas.
Além disso, a Azion oferece o Origin Shield, permitindo que os desenvolvedores ocultem componentes vulneráveis (por exemplo, servidores da web Apache HTTP) de possíveis invasores. O Origin Shield cria um perímetro de segurança para sua infraestrutura de origem, seja ela uma nuvem, provedor de hospedagem, ou até mesmo seu próprio data center. Funciona evitando que os atacantes tenham como alvo direto a origem, e força o tráfego a passar pela enorme rede edge distribuída da Azion, com segurança multicamadas integrada para proteger contra uma ampla variedade de rede de ataques application-layer de ameaças estabelecidas e em evolução.
Por último, o Data Stream e o Real Time Metrics da Azion permitem que nossos clientes visualizem ataques como o CVE-2021-41773 mitigados em tempo real, ajudando os clientes a garantir que fizeram sua parte para evitar falhas de registro e monitoramento de segurança.
Conclusão
Incidentes de segurança como esse ressaltam a importância de escolher uma solução de segurança que possa proteger contra ataques zero-day. Com o WAF da Azion, nossos clientes podem proteger os componentes vulneráveis das aplicações, até mesmo os que são escritos in-house, que contêm ou são baseados em bibliotecas de código aberto/de terceiros. Além do WAF, a Azion oferece uma plataforma edge computing completa com segurança em várias camadas disponível via Azion Edge Firewall.
Para descobrir como a Plataforma de Edge da Azion pode melhorar sua segurança, entre em contato com nossa equipe de vendas ou crie uma conta gratuita para começar a usar o Azion WAF hoje mesmo.