Retour sur la vulnérabilité critique CVE-2021-41773

Introduction

Une vulnérabilité critique a été révélée sur Apache 2.4.49 ce mardi 5 Octobre. La vulnérabilité permet à un attaquant distant de réaliser une attaque de “Path traversal”.

En conséquence, cela mène à une lecture de fichier arbitraire sur le serveur. Elle aurait été découverte par des hackers, et serait exploitée depuis plusieurs mois. Elle est actuellement référencée en tant que CVE-2021-41773.

Explication

La vulnérabilité peut être exploitée si les fichiers en dehors de la racine du serveur ne sont pas protégés par l’option « require all denied » dans la configuration d’Apache. (source : lien)

Il existe de nombreux serveurs Apache en version 2.4.49 potentiellement vulnérables. En effet, Shodan en référence plus de 112 000.

Cependant, de nombreuses personnes configurent le serveur Apache afin de ne pas divulguer la version utilisée. Cela laisse sous-entendre qu’il y a potentiellement d’autres serveurs vulnérables à cette attaque.

La vulnérabilité a été publiée dans ce commit disponible sur le Github d’Apache : https://github.com/apache/httpd/commit/e150697086e70c552b2588f369f2d17815cb1782.

Par conséquent, en lisant le code on réalise qu’il est possible de remonter l’arborescence grâce à “.%2e” qui correspond à “..” en URL encoding.

Proof of concept

L’exploitation est assez simple.

En effet, il suffit de remonter dans l’arborescence du serveur de fichier pour lire le fichier désiré.

Ensuite, certains fichiers sensibles peuvent être lus, comme des fichiers de configuration.

Par conséquent, cette accessibilité engendre des problèmes de confidentialité assez importants.

Évidemment, il sera possible de lire uniquement les fichiers lisibles par l’utilisateur Apache.

Aussi, il est possible de tester si plusieurs hôtes sont vulnérables grâce au script suivant :

Correction

Afin de corriger cette vulnérabilité, Apache a rapidement publié un patch de sécurité, présent dans la version 2.4.50.

[ UPDATE du 08 octobre 2021 ]

1. La version qui corrige la faille n’est pas le patch 2.4.50 mais 2.4.51.

2. Un nouveau Proof of Concept est apparu !

Un nouveau Proof of concept est apparu quelques jours après la publication de la CVE. Cette nouvelle exploitation permet une exécution de commandes arbitraires (RCE) sur le serveur. Le principe est d’utiliser la vulnérabilité Path Traversal pour charger le fichier /bin/sh, et d’envoyer en argument dans le corps de la requête, la commande à exécuter.

curl -s -d ‘echo; id;ls -la /’ « http://localhost/cgi-bin/.%2e/%2e%2e/%2e%2e/bin/sh »

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.

Introduction

Explication

Proof of concept

Correction

Newsletter.

Ne ratez pas les dernières infos de la cybersécurité