A CISA lançou um segundo comunicado sobre várias vulnerabilidades do servidor Apache HTTP. Em novembro, a Cisco enviou um aviso sobre as vulnerabilidades, explicando que a Apache Software Foundation divulgou cinco vulnerabilidades que afetam o Apache HTTP Server (httpd) 2.4.48 e versões anteriores em 16 de setembro.
Os IDs são CVE-2021-33193, CVE-2021-34798, CVE-2021-36160, CVE-2021-39275, CVE-2021-40438.
A Cisco observou que uma das vulnerabilidades no módulo mod_proxy do Apache HTTP Server (httpd) pode permitir que um invasor remoto não autenticado faça o servidor httpd encaminhar solicitações para um servidor arbitrário.
Outra pode permitir que um invasor explore uma vulnerabilidade, enviando uma solicitação HTTP elaborada para um dispositivo vulnerável, e uma exploração bem-sucedida pode permitir que o invasor obtenha, modifique ou exclua recursos em outros serviços que podem estar inacessíveis de outra forma.
Cisco disse em novembro; a equipe de resposta a incidentes de segurança do produto “tomou conhecimento de tentativas de exploração da vulnerabilidade identificada por CVE-2021-40438.”
A Cisco disse que os produtos afetados pelas vulnerabilidades incluem Cisco Cloud Services Platform 2100, Cisco Wide Area Application Services (WAAS), Cisco Wireless Gateway para LoRaWAN, Cisco TelePresence Video Communication Server (VCS), Cisco Expressway Series, Cisco UCS Manager, Cisco Network Assurance Engine, Cisco UCS Director Bare Metal Agent, Cisco UCS Central Software, Cisco Security Manager, Cisco Prime Optical para provedores de serviços, Cisco Prime Infrastructure, Cisco Prime Collaboration Provisioning, Cisco FXOS Software para Firepower 4100/9300 Series Appliances, Cisco Policy Suite e o Cisco Firepower Management Center.
A empresa acrescentou que está investigando os seguintes produtos: Cisco DNA Center, Cisco Unified Communications Domain Manager, Serviço de IM e Presença do Cisco Unified Communications Manager (antigo CUPS) e Cisco Smart Net Total Care – On-Premises.
Algumas das correções já estão disponíveis, mas outras serão lançadas em fevereiro, março, maio e junho de 2022. Os administradores podem encontrar soluções alternativas para produtos específicos no aviso da Cisco.
Casey Ellis, CTO da Bugcrowd, disse que as vulnerabilidades são críticas em seu impacto e parecem ser bastante fáceis de explorar.
O principal caçador de ameaças da Netenrich, John Bambenek, disse à ZDNet que o que se destacou sobre o aviso é que as vulnerabilidades foram conhecidas pela primeira vez em agosto e uma atualização do Apache foi lançada em setembro.
“Só agora a Cisco emitiu seu próprio comunicado e começou o processo para remediar o problema em seus dispositivos. O software de código aberto é um componente-chave em muitas ofertas comerciais. No entanto, o gerenciamento de patch e vulnerabilidade ainda representa problemas, mesmo para grandes empresas”, disse Bambenek. disse.
“Dispositivos com grande controle sobre os ambientes da maneira que os dispositivos Cisco realmente fazem deveriam ter vindo com um escrutínio mais responsável sobre as atualizações dos principais componentes de seus produtos.”
A CISA incentiva equipes de TI a abordar a vulnerabilidade crítica que afeta o software de infraestrutura de virtualização de funções de rede corporativa da Cisco
A CISA disse que um atacante remoto pode explorar a vulnerabilidade para assumir o controle de um sistema afetado. A CISA divulgou uma nota esta semana pedindo que as equipes de TI atualizem um sistema Cisco que tem uma vulnerabilidade crítica.
A vulnerabilidade afeta a versão 4.5.1 do software de infraestrutura de virtualização de função de rede corporativa da Cisco (NFVIS) 4.5.1, e a Cisco lançou atualizações de software que abordam a vulnerabilidade na quarta-feira.
A vulnerabilidade “pode permitir que um invasor remoto não autenticado ignore a autenticação e faça login em um dispositivo afetado como administrador”, de acordo com a Cisco. Esta vulnerabilidade está no recurso de autenticação, autorização e contabilidade (AAA) TACACS + do NFVIS.
“Esta vulnerabilidade se deve à validação incompleta da entrada fornecida pelo usuário que é passada para um script de autenticação. Um invasor pode explorar esta vulnerabilidade injetando parâmetros em uma solicitação de autenticação. Uma exploração bem-sucedida pode permitir que o invasor ignore a autenticação e faça login como administrador para o dispositivo afetado “, disse Cisco.
“Não há soluções alternativas que resolvam esta vulnerabilidade. Para determinar se um recurso de autenticação externa TACACS está habilitado em um dispositivo, use o comando show running-config tacacs-server.”
A Cisco recomendou que as equipes de TI entrem em contato com o Centro de Assistência Técnica da Cisco ou com os provedores de manutenção contratados se enfrentarem problemas.
“O Cisco Product Security Incident Response Team (PSIRT) está ciente de que o código de exploração de prova de conceito está disponível para a vulnerabilidade descrita neste comunicado. O Cisco PSIRT não está ciente de qualquer uso malicioso da vulnerabilidade descrita neste comunicado “, Acrescentou a Cisco, agradecendo a Cyrille Chatras do Orange Group por relatar a vulnerabilidade.
John Bambenek, consultor de inteligência de ameaças da Netenrich, disse que é “um grande problema para os dispositivos Cisco NFV, que destaca que os engenheiros de software ainda lutam com as vulnerabilidades de validação de entrada que nos atormentam há quase três décadas”.
“A fácil aquisição de direitos administrativos em qualquer dispositivo deve ser preocupante, e as organizações devem tomar medidas imediatas para corrigir seus dispositivos”, acrescentou Bambenek.
Correções adicionais lançadas abordando o problema do servidor Apache HTTP
Na quinta-feira, o Apache lançou correções adicionais para CVE-2021-41773, enquanto agências governamentais como a CISA alertavam que uma vulnerabilidade relacionada ao problema do servidor HTTP Apache havia sido explorada à solta.
Como o ZDNet relatou na quarta-feira, os desenvolvedores por trás do Projeto Apache HTTP Server pediram aos usuários que apliquem uma correção imediatamente para resolver uma vulnerabilidade de Zero-Day.
A Apache Software Foundation lançou o Apache HTTP Server versão 2.4.50 para abordar duas vulnerabilidades que permitiriam a um invasor assumir o controle de um sistema afetado. Em um aviso na quarta-feira, a CISA disse que uma das vulnerabilidades, CVE-2021-41773, já foi explorada em estado selvagem.
“Foi descoberto que a correção para CVE-2021-41773 no Apache HTTP Server 2.4.50 era insuficiente. Um invasor poderia usar um ataque de passagem de caminho para mapear URLs para arquivos fora dos diretórios configurados por diretivas semelhantes a Alias. Se os arquivos fora de esses diretórios não são protegidos pela configuração padrão usual “exigir todos negados”, essas solicitações podem ser bem-sucedidas. Se os scripts CGI também forem habilitados para esses caminhos com alias, isso pode permitir a execução remota de código “, disse o Apache em um aviso.
“Este problema afeta apenas o Apache 2.4.49 e o Apache 2.4.50 e não as versões anteriores.” A CISA disse que “a varredura ativa do Apache HTTP Server CVE-2021-41773 e CVE-2021-42013 está em andamento e deve ser acelerada, provavelmente levando à exploração”.
“Essas vulnerabilidades foram exploradas em liberdade. Por favor, corrija imediatamente se ainda não o fez – isso não pode esperar até depois do fim de semana”, acrescentou a agência governamental.
De acordo com o Bleeping Computer, cerca de 25% dos sites em todo o mundo são apoiados pelo servidor Apache HTTP de plataforma cruzada de código aberto.
Pesquisadores da Sonatype disseram que aproximadamente 112.000 servidores Apache estão executando a versão vulnerável, com cerca de 40% localizados nos Estados Unidos. O Rapid7 Labs disse que identificou cerca de 65.000 versões potencialmente vulneráveis do Apache HTTPd expostas à Internet pública na quarta-feira.
“A vulnerabilidade em si não pode ser explorada em condições normais ou padrão. O maior impacto desse problema será nos aplicativos que empacotaram o Apache 2.4.49 e uma configuração que permite a vulnerabilidade. Um desses aplicativos é o Control Webpanel (também conhecido como CentOS Webpanel), que é usado por provedores de hospedagem para administrar sites, semelhante ao cPanel “, disse Derek Abdine, CTO da Censys.
“Atualmente, há pouco mais de 21.000 deles que usam a Internet e parecem vulneráveis.”
O pesquisador de segurança sênior da Censys, Mark Ellzey, acrescentou que espera que haja algumas consequências para isso, mas que pode não ser generalizado. Em comparação com as vulnerabilidades recentes relacionadas ao Confluence ou VMware, ele disse que a urgência e a eficácia das explorações para esse problema não chegam a um nível semelhante.
“Qualquer coisa fora da configuração ruim provavelmente será um ataque direcionado a aplicativos específicos. Aposto que podemos ver alguns vazamentos de código”, disse Ellzey.
As vulnerabilidades foram descobertas pela primeira vez por Ash Daulton da equipe de segurança do cPanel, e Shungo Kumasaka encontrou os problemas mais recentes, Juan Escobar da Dreamlab Technologies e Fernando Muñoz da NULL Life CTF. Exploits foram criados e lançados rapidamente assim que a vulnerabilidade foi divulgada.
Fonte: www.zdnet.com
Posts relacionados: CISA lança Estratégia de Segurança para Sistemas de Controle Industrial / CISA e NSA lançam Guia de seleção e hardening de VPNs e CISA – Nova ferramenta de auditoria de segurança de autoavaliação de ransomware