Πρόβλημα ασφαλείας στον Apache 2.2.8, το exploit έχει κυκλοφορήσει
Τις τελευταίες εβδομάδες κυκλοφορούσαν φήμες για μια τρύπα ασφαλείας στο core του Apache η οποία μπορεί να δώσει πρόσβαση στον επιτιθέμενο στον διακομιστή που τρέχει το προβληματικό λογισμικό.
Ο Ιταλός Ubuntu Developer, Emanuele Gentili έκανε post τα logs μιας τέτοιας επίθεσης στην Ιταλική λίστα ασφαλείας Sikurezza.org.
Από τα σχόλια των χρηστών1 διαβάζουμε ότι το exploit δεν έχει σχέση με κάποιο script ή κάποιο extension (python, perl, κλπ), αλλά με τον ίδιο τον Apache. Απόδειξη είναι ότι, ένα από τα μηχανήματα της Canonical Ltd. που έχουν πάρει πρόσβαση οι επιτιθέμενοι, υπήρχε μόνο η σελίδα “It works!” του Apache 2.8.8 .
Από τα logs μπορούμε να διακρίνουμε ότι, τα system calls μοιάζουν να έχουν γραφτεί για το FreeBSD. Οπότε οι υποθέσεις για την ώρα, είναι ότι πρόκειται για ένα κακογραμμένο mass-rootkit ή worm όπως το παλιότερο SSL-Too-Open που είχε κυριολεκτικά διαλύσει το μισό διαδίκτυο την εποχή που κυκλοφόρησε το worm.
Για την ώρα, καλύτερα να χρησιμοποιείτε το lighttpd ή κάποιο άλλο HTTPd server.
Αναμένουμε λεπτομέρειες, οι server της Canonical Ltd. τρέχουν σε full debug mode έτσι ώστε το security team να μπορέσει να κάνει debug τα request σε verbose mode. Δεν έχει γίνει επίσημη ανακοίνωση, δεν έχουν τεθεί σε κίνδυνο οι mirrors του Ubuntu από όσο γνωρίζουμε, ούτε καμιάς άλλης διανομής2 οπότε δεν υπάρχει λόγος για πανικό, από τους χρήστες Ubuntu GNU/Linux. Απλά κατεβάστε τους servers γιατί δεν κυκλοφορεί patch, ή στην καλύτερη περίπτωση στήστε τον Apache σε chroot jail.
Για την ώρα δεν γνωρίζουμε αν ο Apache που τρέχει Windows2K/NT/XP είναι εκτεθειμένος σε αυτήν την επίθεση. Υπάρχει περίπτωση τα Windows να μην επηρεάζονται από αυτήν την επίθεση.
27/12/2008 UPDATE: Όπως μας ενημερώνει ο Πάτροκλος Αργυρούδης το exploit για το πρόβλημα ασφαλείας στον apache2 κυκλοφορεί με το τελευταίο VulnDisc Pack Professional
- Η Sikurezza ml είναι μια από τις λίστες ασφαλείας με το υψηλότερο επίπεδο χρηστών. Μέλη της λίστας αποτελούν ιδρυτικά μέλη διάσημων security crews όπως: S0ft-project, Phrack Team, autistici, antifork, κλπ [↩]
- Από όσο γνωρίζω τουλάχιστον. Σε προηγούμενη παρόμοια υπόθεση, οι servers με repositories των Debian & Gentoo είχαν υποστεί επιτυχημένη επίθεση αλλά ποτέ δεν μας έδωσαν λεπτομέρειες, ειδικά το Gentoo team… [↩]
Related posts:
- Joy.gr και XSS τρύπες ασφαλείας… Σήμερα, κατά λάθος, έπεσα σε ένα άρθρο του Διονύση το οποίο...
- Τρύπα ασφαλείας στο Gmail Πολλοί χρήστες Gmail ανά τον πλανήτη έχουν αναφέρει τελευταία ένα...
Related posts brought to you by Yet Another Related Posts Plugin.
Χθες παρατήρησα οτι το link “Search” την πανω μπαρα του debian.org οδηγει σε ενα It works. Ελπιζω να μην σχετιζεται..
Περιεργο παντως, παρακολουθώ αρκετές security λίστες και blogs αλλα δεν εχω δει αναφορά στο θέμα μεχρι τωρα, μου εκανε (θετική) εντυπωση να το δω σε ελληνικό blog
Δεν γνωρίζω τίποτε παραπάνω από αυτά που έχω γράψει και δεν θέλω να κάνω υποθέσεις. Υπάρχει περίπτωση να έχουμε νέα σύντομα, αλλά μπορεί κι όχι. Πάλι καλά που υπάρχουν administratos που κοιτάζουν τα logs…
Προφανώς εννοείς την έκδοση 2.2.8 του Apache (και όχι την 2.8.8 η οποία δεν υπάρχει). Επίσης να προσθέσω ότι το ChangeLog (http://www.apache.org/dist/httpd/CHANGES_2.2) δεν έχει κάποια αναφορά που να φαίνεται σχετική. Ελπίζω σύντομα να έχουμε περισσότερες τεχνικές λεπτομέρειες.
Καλημέρα Πάτροκλε,
Ευχαριστώ για την υπόδειξη. Ναι πολύ σωστά η έκδοση είναι η 2.2.8 , άλλαξα τον τίτλο.
Αν υπάρχει κάτι καινούριο θα ενημερώσω το blog. Είμαι σίγουρος ότι σε λίγο καιρό θα κυκλοφορήσουν τεχνικές λεπτομέρειες στο διαδίκτυο, για το “ευρύ” κοινό.
Το exploit για το συγκεκριμένο πρόβλημα υπάρχει στην τελευταία έκδοση του VulnDisco Pack Professional:
vd_apache3 - [0day] Apache 2 exploit (proof of concept)
Σε ευχαριστώ για την ενημέρωση!