Apache HTTP Sunucusundaki Karmaşık Saldırılar Saldırganların Uzaktan Kök Erişimi Elde Etmesine İzin Veriyor


Apache HTTP Sunucusu

Black Hat USA 2024’te yakın zamanda yapılan bir araştırma sunumunda, yaygın olarak kullanılan bir web sunucu yazılımı olan Apache HTTP Sunucusu’ndaki mimari güvenlik açıkları ortaya çıkarıldı.

Araştırmada Httpd içerisindeki çeşitli teknik borçlar vurgulanıyor. Bunlar arasında üç tür Karıştırma Saldırısı, dokuz yeni güvenlik açığı, 20 istismar tekniği ve 30’dan fazla vaka çalışması yer alıyor.

DÖRT

Apache HTTP Server, yüzlerce küçük modülün HTTP isteklerini işlemek için birlikte çalıştığı modüler bir tasarımla çalışır. Bu modüller, paylaşılan bir request_rec senkronizasyon, iletişim ve veri değişimi için yapı.

HTTP istekleri çeşitli aşamalardan geçerken, modüller bu yapıyı ihtiyaç halinde değiştirir.

Bu işbirliği her modülün kendi özel görevine odaklanmasını sağlarken, yüzlerce modüle ölçeklendiğinde karmaşıklık artıyor.

Buna göre Orange Tsai’nin araştırması,Modüllerin derinlemesine anlaşılmaması ve katı geliştirme yönergelerinin olmaması boşluklar ve tutarsızlıklar yaratarak sistemi potansiyel istismara karşı savunmasız hale getiriyor.

Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access

9 Keşfedilen Güvenlik Açığı

Araştırmada Apache HTTP Sunucusunda dokuz yeni güvenlik açığı keşfedildi:

  • CVE-2024-38472 – Windows UNC SSRF üzerinde Apache HTTP Sunucusu
  • CVE-2024-39573 – Apache HTTP Sunucusu proxy kodlama sorunu
  • CVE-2024-38477 – Apache HTTP Sunucusu: Kötü amaçlı bir istek yoluyla mod_proxy’de Hizmet Reddi ile sonuçlanan çökme
  • CVE-2024-38476 – Apache HTTP Sunucusu, dahili yönlendirme yoluyla yerel işleyicileri çalıştırmak için istismar edilebilir/kötü amaçlı arka uç uygulama çıktısını kullanabilir
  • CVE-2024-38475 – Apache HTTP Sunucusu mod_rewrite’da, ikamenin ilk segmenti dosya sistemi yoluyla eşleştiğinde oluşan zayıflık
  • CVE-2024-38474 – Geri referanslarda kodlanmış soru işaretleriyle Apache HTTP Sunucusu zayıflığı
  • CVE-2024-38473 – Apache HTTP Sunucusu proxy kodlama sorunu
  • CVE-2023-38709 – Apache HTTP Sunucusu: HTTP yanıt bölme
  • CVE-2024-?????? -Henüz düzeltilmedi

Karmaşa Saldırıları

Karmaşa Saldırıları, Apache HTTP Sunucusunun iç mekanizmalarını ve mimari tasarımını istismar eden yeni bir saldırı yüzeyi türüdür.

Apache HTTP Sunucusundaki üç temel güvenlik açığı, şunlara odaklanıyor: dosya adı karışıklığı, DocumentRoot karışıklığı ve işleyici karışıklığıİşte her birinin özeti:

Bu saldırılar, sunucu yazılımındaki farklı modüllerin birbirlerini tam olarak anlayamaması ve aynı alanları nasıl yorumladıkları konusunda belirsizliklere yol açması durumunda meydana gelir. Bu, erişim denetimi ve kimlik doğrulama atlamaları dahil olmak üzere potansiyel güvenlik risklerine yol açabilir.

Araştırma üç tür Karmaşa Saldırısı tespit etti:

  1. Dosya Adı Karmaşası: Bu saldırı, bazı modüllerin r->filename alanı bir URL olarak ele alırken, diğerleri bunu bir dosya sistemi yolu olarak ele alır. Bu tutarsızlık, yol kesilmesi ve erişim denetimi atlamaları gibi güvenlik sorunlarına yol açabilir.
  2. DocumentRoot Karışıklığı: Bu saldırı, DocumentRoot yönerge düzgün bir şekilde doğrulanmadığında, saldırganların hassas dosyalara ve dizinlere erişmesine olanak tanır.
  3. İşleyici Karmaşası: Bu saldırı, Handler yönerge düzgün bir şekilde doğrulanmadığında, saldırganların keyfi kod yürütmesine izin verilir.

1. Dosya Adı Karmaşası

Bu güvenlik açığı, tutarsız bir şekilde işlenmesinden kaynaklanmaktadır. r->filename Apache HTTP Sunucusunda, bazı modüllerin bunu bir dosya sistemi yolu olarak ele aldığı, bazılarının ise mod_rewritebunu bir URL olarak ele alın. Bu tutarsızlık çeşitli güvenlik sorunlarına yol açabilir:

  • Yol Kesme: mod_rewrite Soru işaretinden sonraki yolu keser ve saldırganların güvenlik kontrollerini atlatıp istenmeyen dosyalara erişmesine olanak tanır.
  • Yanıltıcı RewriteFlags Ataması: Saldırganlar manipüle edebilir RewriteRule Sunucuyu yanlış işleyiciler veya bayraklar uygulamaya kandırmak ve yetkisiz betiklerin yürütülmesini sağlamak için kullanılan kalıplar.
  • ACL Baypası: Modüller arasındaki tutarsızlıklar mod_proxy ve yorumlayan diğerleri r->filename Farklı bir şekilde kullanılması, özellikle dosya tabanlı erişim kontrolleri kullanıldığında saldırganların erişim kontrollerini atlatmasına olanak tanıyabilir.

2. DocumentRoot Karışıklığı

Bu saldırı, DocumentRoot öneki olan ve olmayan yollar arasındaki karışıklıktan yararlanır. Apache HTTP Sunucusu her ikisine de erişmeye çalışır ve bu da istenmeyen dosya erişimine yol açabilir:

  • Kaynak Kodu Açıklaması: Saldırganlar, özellikle dosya yolları web kökü dışında açığa çıktığında, bu karışıklıktan yararlanarak sunucu tarafındaki betiklerin (örneğin CGI, PHP) kaynak kodlarına erişebilirler.
  • Yerel Aletler Manipülasyonu: Aşağıdaki gibi dizinlerdeki dosyalara erişerek: /usr/shareSaldırganlar, bilgi ifşası, XSS, LFI, SSRF veya hatta RCE gibi yetkisiz eylemleri gerçekleştirmek için yerel betikleri veya yapılandırmaları manipüle edebilir.
  • Yerel Aygıtlardan Jailbreak: FollowSymLinks seçeneği saldırganların sembolik bağlantıları kullanmasına olanak tanır /usr/share hassas dosyalara erişmek veya saldırıları artırmak, potansiyel olarak sunucunun tamamının tehlikeye girmesine yol açabilir.

3. İşleyici Karmaşası

Bu güvenlik açığı, aşağıdakilerin birbirinin yerine kullanılmasından kaynaklanmaktadır: AddType Ve AddHandler yönergeler, işleyicilerin potansiyel olarak üzerine yazılmasına veya yanlış kullanılmasına yol açabilir:

  • İşleyiciyi Üzerine Yaz: Bir modül yanlışlıkla üzerine yazarsa Content-TypeApache’nin istekleri yanlış yönetmesine, PHP kaynak kodunun açığa çıkmasına veya diğer istenmeyen davranışların oluşmasına neden olabilir.
  • Keyfi İşleyicileri Çağır: Saldırganlar, Apache HTTP Sunucusundaki eski davranışı kötüye kullanabilir. Content-Type bir işleyici olarak. Yanıt başlıklarını kontrol ederek, herhangi bir dahili modül işleyicisini çağırabilir, bu da bilgi ifşasına, SSRF’ye, RCE’ye veya hatta yerel Unix etki alanı soketlerine erişime yol açabilir.

Bu güvenlik açıklarının her biri, Apache HTTP Sunucusundaki gizli tutarsızlıkların ve eski davranışların, web sunucularının güvenliğini tehlikeye atmak için nasıl kullanılabileceğini ve çok çeşitli potansiyel saldırılara yol açabileceğini göstermektedir.

Keşfedilen güvenlik açıkları Apache HTTP Server kullanan kuruluşları önemli ölçüde etkileyebilir. Bu riskleri azaltmak için, yöneticilerin sunucularını en son sürüme (2.4.60) güncellemeleri ve kesintileri önlemek için yapılandırmalarını dikkatlice incelemeleri önerilir.

Araştırma, Apache HTTP Server gibi yaygın olarak kullanılan yazılımların dahili mekanizmalarını ve mimari tasarımını anlamanın önemini vurgulamaktadır. Bu güvenlik açıklarını ortaya çıkararak araştırma, kuruluşların kendilerini olası saldırılara karşı korumalarına ve internetin genel güvenliğini iyileştirmelerine yardımcı olabilir.

Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download

Ayrıca Okuyun:



Source link