Apache Trafik Sunucusu Güvenlik Açığı Saldırganların İstekleri Kaçaklatmasına İzin Ver

Apache Trafik Sunucusunda (ATS) kritik bir güvenlik açığı keşfedildi. Sunucunun parçalanmış mesajları nasıl işlediğini kullanarak, saldırganlar kaçakçılık saldırıları talep edebilir.

CVE-2024-53868 olarak izlenen güvenlik açığı, bu yüksek performanslı HTTP proxy sunucusunun birden fazla sürümünü etkiler ve sistem yöneticilerinin hemen dikkatini gerektirir.

Danışmanlığa göre, güvenlik açığı, Apache Traffic Server’ın HTTP’nin kanallı transfer kodlamasını nasıl ele aldığı konusundaki bir kusurdan kaynaklanıyor – verilerin aynı anda değil bir dizi parçaya gönderilmesine izin veren bir yöntem.

Kötü biçimlendirilmiş parçalanmış mesajları işlerken ATS, mesaj biçimini doğru bir şekilde doğrulayamaz ve kötü niyetli aktörlerin kullanabileceği bir güvenlik boşluğu oluşturur.

Özellikle, sorun ATS’nin kötü biçimlendirilmiş parçalanmış mesaj bedenlerini nasıl ele aldığını içerir. İlgili GitHub sorunlarından elde edilen bulgulara dayanarak, ATS, sadece boşlukların ve sekmelerin izin verilmesi gereken çıtır-özet boşluk içinde taşıma iadeleri gibi geçersiz biçimlendirme öğeleri içeren yanlış bir şekilde kabul eder ve iletir.

Apache Trafik Sunucusu Güvenlik Açığı

Ek olarak, ATS, standart taşıma dönüşü + satır besleme (CRLF) dizisini gerektirecek şekilde yığın mesaj gövdeleri içindeki çizgi sonları olarak çıplak çizgi besleme (LF) karakterlerini kabul eder.

Örneğin, aktarma kodlama: kasıtlı olarak kötü formlu yığın biçimlendirmesine sahip yığın başlık kullanılarak özel olarak hazırlanmış bir HTTP isteği bir ATS sunucusuna gönderildiğinde, sunucu arka uç sunucularının aynı isteği nasıl yorumlayabileceğinden farklı bir şekilde işler.

Bu tutarsızlık, istek kaçakçılığı fırsatı yaratır.

Yukarıda basitleştirilmiş örnek, parçalanmış bir mesajda uygunsuz bir satırın (\ n olarak temsil edilen çıplak LF) ATS tarafından nasıl kabul edilebileceğini ve uygun normalizasyon olmadan arka uç sunucularına nasıl iletilebileceğini gösterir.

Güvenlik açığının özeti aşağıda verilmiştir:

Güvenlik etkileri

Bu istek kaçakçılığı güvenlik açığı birkaç ciddi risk oluşturmaktadır:

• Güvenlik kontrollerini atlamak: Saldırganlar, arka uç sunucularını korumak için tasarlanmış web uygulaması güvenlik duvarlarını veya erişim kontrol listelerini atlatabilir.
• Önbellek zehirlenmesi: İsteklerin nasıl yorumlandığını manipüle ederek, saldırganlar sunucu önbelleğini zehirleyebilir ve meşru kullanıcılara gönderilen yanıtları etkileyebilir.
• Oturum kaçırma: Bazı senaryolarda, saldırganlar kullanıcı oturumlarını kesebilir veya manipüle edebilir ve potansiyel olarak hassas hesaplara yetkisiz erişim elde edebilir.
• Veri maruziyeti: Güvenlik açığı, tutarsız istek işlenmesi nedeniyle hassas bilgilerin maruz kalmasına yol açabilir.

Güvenlik açığı, orta şiddet seviyesini gösteren 6.5 CVSS taban skoru atanmıştır.

Aşağıdaki Apache trafik sunucusu sürümleri CVE-2024-53868’e karşı savunmasızdır:

• ATS 9.0.0 ila 9.2.9
• ATS 10.0.0 ila 10.0.4

Azaltma adımları

Apache Traffic Server’ı kullanan kuruluşlar, aşağıdaki azaltma önlemlerini derhal uygulamalıdır:

Yamalı sürümlere yükseltme:

• 9.x Şube Kullanıcıları için: 9.2.10 sürümüne veya üstüne yükseltme
• 10.x Şube Kullanıcıları için: Sürüm 10.0.5 veya üstüne yükseltin
• Apache Traffic Server örneklerine ağ erişimini inceleyin ve kısıtlayın
• Olağandışı HTTP istek kalıpları için trafiği izleyin
• Ek ağ düzeyinde güvenlik kontrolleri uygulayın
• Mevcut dağıtımların kapsamlı güvenlik değerlendirmelerini yapın

Apache Yazılım Vakfı, bu güvenlik güncellemelerini 2 Nisan 2025’te, projenin deposunda bulunan güvenlik açığını ele alan taahhütlerle yayınladı.

İçerik dağıtım ağlarında (CDN’ler) ve yüksek trafikli web sitelerinde Apache Trafik Sunucusunun yaygın kullanımı göz önüne alındığında, yöneticilerin altyapılarını potansiyel sömürüden korumak için bu güncellemelere öncelik vermeleri istenir.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free