В веб-сервере Apache критическая уязвимость.
ФСТЭК в начале сентября разослала предупреждение об исправлении проектом Apache опасной уязвимости BDU:2024-06593, которая позволяет нарушителю, действующему удалённо, выполнить произвольный код. По классификации CVSSv3 уязвимость имеет критический уровень опасности – 9.8 из 10. Производитель еще 17 июля выпустил исправления в версии 2.4.62, в котором исправлена в том числе и указанная критическая уязвимость.
Она была обнаружена двумя исследователями из компании DBAPPSecurity Ltd. и обнародована 9 июля этого года. Уязвимость присутствует в версиях Apache 2.4.60 и 2.4.61 и возникла из-за некорректной реализации функции mod_rewrite веб-сервера Apache HTTP Server под Windows. Ошибка позволяет злоумышленнику организовать утечку NTLM-хэшей на контролируемый им сервер с помощью подделки запросов со стороны сервера (SSRF-атака).
В России на сегодняшний день 66499 серверов на Apache, по данным Shodan. Публичного средства для автоматизированного использования данной уязвимости (эксплойта) сейчас нет. Это дает время пользователям для обновления.
Однако сколько из почти 66,5 тыс. расположенных на территории России серверов Apache работает под Windows не очень понятно. Веб-сервера в большей части работают под управлением Linux, для которой данная уязвимость не актуальна.
Основными продуктами здесь являются Nginx, IIS и, собственно, Apache. Так как IIS – продукт Microsoft, то от него сейчас тоже отказываются на российском рынке, заменяя его на лидирующий Nginx и Apache. С учётом этого все больше систем будет подвержено данной уязвимости. Возможность выполнения произвольного кода нарушает все критерии безопасности (конфиденциальность, целостность, доступность), а также может привести к распространению вредоносного кода на компьютеры пользователей.
ФСТЭК рекомендует оперативно обновить уязвимые версии, установив на них исправления, предоставленные разработчиком. Если же это по каким-то причинам сделать оперативно не получится, то рекомендуется хотя бы выполнить следующие действия:
- использовать средства межсетевого экранирования уровня веб-приложений (WAF) для ограничения возможности удалённого доступа и эксплуатации уязвимости;
- использовать виртуальные частные сетей для организации удаленного доступа (VPN) к уязвимым серверам.
Эксплуатация уязвимости BDU:2024-06593 может привести к потенциальному контролю над сервером и возможной компрометации данных со стороны третьих лиц. Учитывая риски использования недокументированных возможностей Apache со стороны третьих лиц или организаций, а также возможность внедрения в них закладки, рекомендуется использовать дополнительные меры защиты, такие как межсетевые экраны и VPN-сети.
Однако веб-сервер обычно устанавливается в открытой сети Интернет, и доступ к нему должен быть открыт всем желающим, поэтому защитить его с помощью межсетевого экрана будет затруднительно. Возможно, с помощью WAF удастся фильтровать попытки эксплуатации данной уязвимости, однако при SSRF-атаке нужно фильтровать не только поступающие запросы, но и ответы сервера, чтобы исключить утечку NTLM-хэшей. Так что лучшим решением проблемы все-таки будет максимально оперативная установки обновлений, в которых данная уязвимость отсутствует.
Работа в Windows с IPv6 может быть опасна.
ФСТЭК 16 августа разослала предупреждение о выпуске компанией Microsoft 13 августа исправлений критической уязвимости BDU:2024-06242 в операционной системе Windows – оценка ее опасности по CVSS составляет 9,8 из 10. Эта уязвимость целочисленного переполнения в реализации базового протокола IPv6 операционной системы, которая позволяет с помощью специально сформированных сетевых пакетов выполнить произвольный код. Опасность исправленного дефекта в том, что его эксплуатация не требует взаимодействия с пользователем и не может быть заблокирована встроенным защитником операционной системы, поскольку срабатывает до передачи пакета в него.
Если текущее описание уязвимости верно, и злоумышленник действительно может вызывать удалённое выполнение кода, просто посылая IPv6 пакеты на Windows хосты, то это очень серьёзная уязвимость, которая может эксплуатироваться в атаках на организации в России и по всему миру. В результате, может возникнуть ситуация похожая на эпидемии шифровальщиков 2017 года, когда злоумышленники эксплуатировали уязвимость в SMB MS17-010 c помощью «утекшего» из АНБ эксплоита EternalBlue. Опасность уязвимости в том, что поддержка IPv6 включена на Windows хостах по умолчанию. Таким образом, уязвимы могут быть все Windows-устройства, которые не были переконфигурированы безопасным образом.
Некоторые эксперты считают, что опасность ограничена доступностью Windows-серверов извне, поскольку на внешних сетевых интерфейсах в основном располагаются средства защиты, которые сейчас уже работают не под Windows. Процесс импортозамещения заставил компании спрятать информационные системы, построенные на базе Windows и других продуктов Microsoft, за защитный периметр из российских продуктов. Поэтому получить прямой доступ к внутренним Windows-серверам напрямую из Интернет даже по протоколу IPv6 сейчас затруднительно – они в большинстве своем используют приватные адреса IP-сети.
Однако если вредонос уже попал в корпоративную сеть, то он может быстро распространяться в ней и атаковать внутренние компьютеры под Windows. Именно так и распространялись в свое время вирусы-шифровальщики на базе EternalBlue, такие как WannaCry или Petya. Причем, именно IPv6 в некоторых случаях позволяет периметр преодолеть, поскольку не все межсетевые экраны могут его эффективно блокировать и фильтровать, а ограничений на доступные адреса IPv6 нет и поэтому публичные адреса могут оказаться и внутри корпоративной сети или арендованного облака, до которого настроен туннель внутрь корпоративной сети. В результате, эта уязвимость как раз для отечественных компаний может оказаться очень опасной.
По данным европейского интернет-регистратора RIPE NCC на начало июня 2023 года, доля интернет-трафика IPv6 в России составила 8,16% от общего объема передаваемых данных. Для сравнения, в 2019 году этот показатель был примерно равен 3,45%. Возросшая популярность технологии как раз и опасна тем, что ее злоумышленники могут использовать для неожиданной атаки организации или облачных ресурсов с помощью необычного протокола.
Сама ФСТЭК предлагает следующие компенсирующие меры для компаний, которые не могут установить выпущенные Microsoft обновления:
- использовать средства межсетевого экранирования для ограничения возможности получения сетевого трафика по протоколу IPv6 (не средствами самой операционной системы Windows);
- отключить протокол IPv6 в операционной системе;
- ограничить удалённый доступ к уязвимой операционной системе из внешних сетей (Интернет).
Однако не стоит забывать, что эту ошибку хакеры могут использовать для перемещения внутри корпоративных систем или облаков, поэтому также стоит мониторить подозрительную активность IPv6 внутри защищенного периметра с помощью систем обнаружения вторжений, стараясь выявить в снимаемом трафике признаки эксплуатации описанной уязвимости.