Black Hat USA 2024’te yakın zamanda yapılan bir araştırma sunumunda, yaygın olarak kullanılan bir web sunucu yazılımı olan Apache HTTP Sunucusu’ndaki mimari güvenlik açıkları ortaya çıkarıldı.
Araştırmada Httpd içerisindeki çeşitli teknik borçlar vurgulanıyor. Bunlar arasında üç tür Karıştırma Saldırısı, dokuz yeni güvenlik açığı, 20 istismar tekniği ve 30’dan fazla vaka çalışması yer alıyor.
Apache HTTP Server, yüzlerce küçük modülün HTTP isteklerini işlemek için birlikte çalıştığı modüler bir tasarımla çalışır. Bu modüller, paylaşılan bir request_rec
senkronizasyon, iletişim ve veri değişimi için yapı.
HTTP istekleri çeşitli aşamalardan geçerken, modüller bu yapıyı ihtiyaç halinde değiştirir.
Bu işbirliği her modülün kendi özel görevine odaklanmasını sağlarken, yüzlerce modüle ölçeklendiğinde karmaşıklık artıyor.
Buna göre Orange Tsai’nin araştırması,Modüllerin derinlemesine anlaşılmaması ve katı geliştirme yönergelerinin olmaması boşluklar ve tutarsızlıklar yaratarak sistemi potansiyel istismara karşı savunmasız hale getiriyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
9 Keşfedilen Güvenlik Açığı
Araştırmada Apache HTTP Sunucusunda dokuz yeni güvenlik açığı keşfedildi:
- CVE-2024-38472 – Windows UNC SSRF üzerinde Apache HTTP Sunucusu
- CVE-2024-39573 – Apache HTTP Sunucusu proxy kodlama sorunu
- CVE-2024-38477 – Apache HTTP Sunucusu: Kötü amaçlı bir istek yoluyla mod_proxy’de Hizmet Reddi ile sonuçlanan çökme
- CVE-2024-38476 – Apache HTTP Sunucusu, dahili yönlendirme yoluyla yerel işleyicileri çalıştırmak için istismar edilebilir/kötü amaçlı arka uç uygulama çıktısını kullanabilir
- CVE-2024-38475 – Apache HTTP Sunucusu mod_rewrite’da, ikamenin ilk segmenti dosya sistemi yoluyla eşleştiğinde oluşan zayıflık
- CVE-2024-38474 – Geri referanslarda kodlanmış soru işaretleriyle Apache HTTP Sunucusu zayıflığı
- CVE-2024-38473 – Apache HTTP Sunucusu proxy kodlama sorunu
- CVE-2023-38709 – Apache HTTP Sunucusu: HTTP yanıt bölme
- CVE-2024-?????? -Henüz düzeltilmedi
Karmaşa Saldırıları
Karmaşa Saldırıları, Apache HTTP Sunucusunun iç mekanizmalarını ve mimari tasarımını istismar eden yeni bir saldırı yüzeyi türüdür.
Apache HTTP Sunucusundaki üç temel güvenlik açığı, şunlara odaklanıyor: dosya adı karışıklığı, DocumentRoot karışıklığı ve işleyici karışıklığıİşte her birinin özeti:
Bu saldırılar, sunucu yazılımındaki farklı modüllerin birbirlerini tam olarak anlayamaması ve aynı alanları nasıl yorumladıkları konusunda belirsizliklere yol açması durumunda meydana gelir. Bu, erişim denetimi ve kimlik doğrulama atlamaları dahil olmak üzere potansiyel güvenlik risklerine yol açabilir.
Araştırma üç tür Karmaşa Saldırısı tespit etti:
- Dosya Adı Karmaşası: Bu saldırı, bazı modüllerin
r->filename
alanı bir URL olarak ele alırken, diğerleri bunu bir dosya sistemi yolu olarak ele alır. Bu tutarsızlık, yol kesilmesi ve erişim denetimi atlamaları gibi güvenlik sorunlarına yol açabilir. - DocumentRoot Karışıklığı: Bu saldırı,
DocumentRoot
yönerge düzgün bir şekilde doğrulanmadığında, saldırganların hassas dosyalara ve dizinlere erişmesine olanak tanır. - İşleyici Karmaşası: Bu saldırı,
Handler
yönerge düzgün bir şekilde doğrulanmadığında, saldırganların keyfi kod yürütmesine izin verilir.
1. Dosya Adı Karmaşası
Bu güvenlik açığı, tutarsız bir şekilde işlenmesinden kaynaklanmaktadır. r->filename
Apache HTTP Sunucusunda, bazı modüllerin bunu bir dosya sistemi yolu olarak ele aldığı, bazılarının ise mod_rewrite
bunu bir URL olarak ele alın. Bu tutarsızlık çeşitli güvenlik sorunlarına yol açabilir:
- Yol Kesme:
mod_rewrite
Soru işaretinden sonraki yolu keser ve saldırganların güvenlik kontrollerini atlatıp istenmeyen dosyalara erişmesine olanak tanır. - Yanıltıcı RewriteFlags Ataması: Saldırganlar manipüle edebilir
RewriteRule
Sunucuyu yanlış işleyiciler veya bayraklar uygulamaya kandırmak ve yetkisiz betiklerin yürütülmesini sağlamak için kullanılan kalıplar. - ACL Baypası: Modüller arasındaki tutarsızlıklar
mod_proxy
ve yorumlayan diğerlerir->filename
Farklı bir şekilde kullanılması, özellikle dosya tabanlı erişim kontrolleri kullanıldığında saldırganların erişim kontrollerini atlatmasına olanak tanıyabilir.
2. DocumentRoot Karışıklığı
Bu saldırı, DocumentRoot öneki olan ve olmayan yollar arasındaki karışıklıktan yararlanır. Apache HTTP Sunucusu her ikisine de erişmeye çalışır ve bu da istenmeyen dosya erişimine yol açabilir:
- Kaynak Kodu Açıklaması: Saldırganlar, özellikle dosya yolları web kökü dışında açığa çıktığında, bu karışıklıktan yararlanarak sunucu tarafındaki betiklerin (örneğin CGI, PHP) kaynak kodlarına erişebilirler.
- Yerel Aletler Manipülasyonu: Aşağıdaki gibi dizinlerdeki dosyalara erişerek:
/usr/share
Saldırganlar, bilgi ifşası, XSS, LFI, SSRF veya hatta RCE gibi yetkisiz eylemleri gerçekleştirmek için yerel betikleri veya yapılandırmaları manipüle edebilir. - Yerel Aygıtlardan Jailbreak: FollowSymLinks seçeneği saldırganların sembolik bağlantıları kullanmasına olanak tanır
/usr/share
hassas dosyalara erişmek veya saldırıları artırmak, potansiyel olarak sunucunun tamamının tehlikeye girmesine yol açabilir.
3. İşleyici Karmaşası
Bu güvenlik açığı, aşağıdakilerin birbirinin yerine kullanılmasından kaynaklanmaktadır: AddType
Ve AddHandler
yönergeler, işleyicilerin potansiyel olarak üzerine yazılmasına veya yanlış kullanılmasına yol açabilir:
- İşleyiciyi Üzerine Yaz: Bir modül yanlışlıkla üzerine yazarsa
Content-Type
Apache’nin istekleri yanlış yönetmesine, PHP kaynak kodunun açığa çıkmasına veya diğer istenmeyen davranışların oluşmasına neden olabilir. - Keyfi İşleyicileri Çağır: Saldırganlar, Apache HTTP Sunucusundaki eski davranışı kötüye kullanabilir.
Content-Type
bir işleyici olarak. Yanıt başlıklarını kontrol ederek, herhangi bir dahili modül işleyicisini çağırabilir, bu da bilgi ifşasına, SSRF’ye, RCE’ye veya hatta yerel Unix etki alanı soketlerine erişime yol açabilir.
Bu güvenlik açıklarının her biri, Apache HTTP Sunucusundaki gizli tutarsızlıkların ve eski davranışların, web sunucularının güvenliğini tehlikeye atmak için nasıl kullanılabileceğini ve çok çeşitli potansiyel saldırılara yol açabileceğini göstermektedir.
Keşfedilen güvenlik açıkları Apache HTTP Server kullanan kuruluşları önemli ölçüde etkileyebilir. Bu riskleri azaltmak için, yöneticilerin sunucularını en son sürüme (2.4.60) güncellemeleri ve kesintileri önlemek için yapılandırmalarını dikkatlice incelemeleri önerilir.
Araştırma, Apache HTTP Server gibi yaygın olarak kullanılan yazılımların dahili mekanizmalarını ve mimari tasarımını anlamanın önemini vurgulamaktadır. Bu güvenlik açıklarını ortaya çıkararak araştırma, kuruluşların kendilerini olası saldırılara karşı korumalarına ve internetin genel güvenliğini iyileştirmelerine yardımcı olabilir.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download