Egy februárban felfedezett súlyos hibához adott ki javítást az Apache Software Foundation. A hiba kihasználásával az Apache webszervereken kártékony szkripteket lehet futtatni root jogosultsággal, és át lehet venni a szerver fölötti irányítást. A hiba a unixos Apache webszervereket érinti a 2.4.17-es verziótól a 2.4.38-asig. A problémára azért is érdemes odafigyelni, mert globálisan is az egyik legnépszerűbb webes kiszolgálóról van szó.

Alacsony jogosultásgból teljes hatalom

A hibát kihasználva a támadók alacsony jogosultságú ún. gyerekfolyamatokat (child process), például egy CGI szkriptet futtathatnak a szülő folyamat (parent process) jogosultságával. Ez azért veszélyes a Unix rendszereken, mert azokon az Apache HTTPd (HTTP daemon – egy háttérben futó program a webszerveren, amely automatikusan válaszol a bejövő kérésre, és a HTTP-n keresztül szolgáltatja a hipertext és multimédiás dokumentumokat) root jogosultásokkal fut.

A probléma leginkább a megosztott webes hosting környezeteket veszélyezteti. Kihasználásához először valamilyen módon hozzá kell férni a webszerverhez – mondta a sebezhetőséget felfedező Charles Fol biztonsági kutató a ZDnetnek. Ez azonban úgy is lehetséges, hogy a támadó regisztrál a megosztott hosting szolgáltatónál, vagy kompromittál egy meglévő hozzáférést.

Ha megvan a hozzáférés, akkor a támadó feltölt egy rosszindulatú CGI szkriptet a szerverre, amellyel átveszi az irányítást. Utána már lehetőséget kap arra, hogy malware-t telepítsen, vagy adatokat lopjon olyan felhasználóktól, akik azon a szerveren tárolják az adataikat. A felhasználó ugyanis a sérülékenységen keresztül teljes (root) hozzáférést kap a szerveren tárolt minden adathoz, azokat olvashatja, írhatja, törölheti.

Nem megosztott környezetben is okozhat bajt

Charles Fol szerint a biztonsági résre a nem megosztott hosting környezetben is érdemes odafigyelni, mert az egyéb szerverbiztonsági problémák lehetőségét is növeli az Apache webszervereknél. Egy támadó vagy egy penetrációs tesztet végző etikus hekker is általában első lépésben alacsony jogosultsággal rendelkezik. A mostani hiba azonban azt jelenti, hogy ha ezzel a jogosultsággal fel tud tölteni egy rosszindulatú CGI szkriptet, akkor onnantól már működik a fenti mechanizmus.

Éppen ezért Fol a minél előbbi javítást javasolja. Az Apache HTTP szerver 2.4.39-es kiadásában már javították a hibát. A kiadásban a fentiek mellett egy olyan, szintén fontos besorolású biztonsági rést is foltoztak, amelynek kiaknázásával ún. bypass vagy megkerüléses támadást lehet végrehajtani, azaz a rendszer védelmét lehet megkerülni érvényes hitelesítő adatok felhasználásával.