Anzeige

Schwachstelle

Kürzlich veröffentliche Apache ein als "wichtig" gekennzeichnetes Sicherheitsupdate für den Apache "httpd", das CVE-2021-41773 schließt. Der Apache Webserver "httpd" ist eine weit verbreitete Software zum Ausliefern von Webseiten. Das zugehörige Modul "mod_cgi" wird zur Bereitstellung von dynamischen Inhalten auf Basis von Skriptsprachen genutzt.

In der Vergangenheit war dies der de-facto-Standard zur Anbindung von zum Beispiel Perl- und Python-basierten Webanwendungen. Die Auswirkung der Schwachstelle wurde als "Path Traversal & Information Disclosure" beschrieben. Verschiedene Medien berichteten inklusive eines Proof-of-Concept (PoC) über den Sachverhalt. Am 6.10.2021 veröffentlichte das Sicherheitsunternehmen Rapid7 einen Blog-Eintrag, der darlegt, dass die Schwachstelle ebenfalls zur Ausführung von Betriebssystemkommandos durch unauthentifizierte Angreifer verwendet werden kann. Die Standardkonfiguration des "httpd" ist in Kombination mit dem aktivierten Modul "mod_cgi" für den Angriff verwundbar. Einige Distributionen, beispielsweise Debian, liefern modifizierte Standardkonfigurationen aus, die auch in der Vergangenheit und mit aktiviertem "mod_cgi" nicht für die Schwachstelle verwundbar waren.

Das Modul "mod_cgi" wird standardmäßig mit dem "httpd" ausgeliefert und hat in der Vergangenheit lange Zeit als Standard-Schnittstelle zwischen "httpd" und Scriptsprachen wie Perl oder Python gedient. Es ist wahrscheinlich, dass das Modul bei einem Teil der verwundbaren Instanzen aktiviert ist.

Bewertung

Nach ersten Betrachtungen werden in Deutschland etwa 12.000 Systeme mit der verwundbaren Version 2.4.49 betrieben. Wie viele Systeme davon zusätzlich das Modul "mod_cgi" aktiviert haben, ist zur Zeit unklar. Über eine aktive Ausnutzung der Lücke wird jedoch bereits berichtet. Die veröffentlichten Proof-of-Concepts können leicht für Angriffe missbraucht werden und so zum Beispiel für Datenabfluss aus den betriebenen Webanwendungen und die vollständige Übernahme des Servers verwendet werden. Sollte eine verwundbare Konfiguration vorliegen, ist davon auszugehen, dass diese Systeme bereits durch Angreifer kompromittiert worden sind.

Maßnahmen

Das BSI empfiehlt dringend, die aktuelle Version des Apache "httpd" einzuspielen, die vom Hersteller veröffentlicht worden ist. Diese kann über die für die entsprechende Distribution üblichen Update-Prozesse bezogen werden.Die Konfiguration des Webservers sollte unabhängig vom Update eine Direktive enthalten, die den Zugriff auf das Wurzelverzeichnis grundsätzlich untersagt. Sollte diese Direktive - wie beispielsweise bei der mit Debian ausgelieferten Konfiguration - bereits vorhanden sein, ist die eingesetzte Konfiguration nicht für diese Schwachstelle verwundbar.Von Apache wird die folgende Konfiguration empfohlen:

<Directory />
Require all denied
</Directory>

Sofern "mod_cgi" aktiviert ist, sollte überprüft werden, ob dies benötigt wird oder deaktiviert werden kann. Sollte eine anfällige Konfiguration vorliegen und der Webserver aus dem Internet erreichbar sein, ist davon auszugehen, dass die Systeme bereits kompromittiert wurden. In diesem Fall sollten Backups eingespielt und Logs und verbundene Systeme auf Unregelmäßigkeiten geprüft werden. Die gegebenenfalls im Sicherheitskonzept vorgesehenen Maßnahmen im Falle einer Kompromittierung sollten unabhängig davon ergriffen werden.

Mögliche Maßnahmen im Falle einer Kompromittierung können sein:

• Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Angreifenden im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel ziehen. Gerät nicht herunterfahren oder ausschalten. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (eigene, durch Dienstleister oder Strafverfolgungsbehörden) erstellen

• Alle auf betroffenen Systemen gespeicherten bzw. nach der Infektion eingegebenen Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden. Dies umfasst u. a. Datenbanken, Applikationsserver, SSH und Fileserver etc.

• Prüfen Sie, ob Sie saubere, integre Backups haben.

Weitere Informationen wie Sie im Falle einer IT-Sicherheitsvorfalls reagieren sollten, finden Sie auf der Webseite des BSI in der Rubrik "IT-Sicherheitsvorfall". Des Weiteren sollte der Webserver immer mit möglichst geringen Nutzerrechten ausgeführt werden und möglichst restriktive Security-Enhanced (SE)-Linux Beschränkungen konfiguriert erfahren.

www.bsi.bund.de


Weitere Artikel

Cybercrime

Cyberattacke auf IT-Dienstleister der Landeshauptstadt Schwerin

Update Mo, 18.10.2021, 16:42 UhrWieder mehr Dienstleistungen der Greifswalder Verwaltung verfügbar.
Android

Heimliches Datensammeln auf Android belegt

Googles mobiles Betriebssystem Android sammelt eifrig Daten seiner Besitzer und teilt diese sogar mit anderen Unternehmen wie Microsoft, LinkedIn und Facebook - insbesondere bei den europäischen Geräten von Samsung, Xiaomi, Huawei und Realme ist dies der…
Cybersecurity

Zscaler tritt der CrowdStrike CrowdXDR Alliance bei

Zscaler erweitert die Integrationen mit CrowdStrike. Durch eine der Integrationen kann Zscaler ZIA™ die Bewertung der Geräte durch CrowdStrike Falcon ZTA (Zero Trust Assessment) für die Konfiguration von Zugriffsrichtlinien nutzen.
Authentifizierung

Kundenauthentifizierung braucht innovative Lösungen

Im Rahmen der IT-Security-Messe it-sa 2021 wurde die neue Studie „CIAM 2022“ im Auftrag vom Identitätsanbieter Auth0 in Zusammenarbeit mit IDG Research Services vorgestellt. Auth0 fasst die wichtigsten Erkenntnisse zusammen.
Cyberattack

Firmen sehen steigende Gefahr durch Cyberattacken

Die Sorge deutscher Firmen vor Cyberangriffen und Datenklau wächst. Jedes dritte Unternehmen geht davon aus, dass das Risiko in der Corona-Pandemie zugenommen hat, in der die Arbeitswelt digitaler geworden ist, wie aus einer am Montag veröffentlichten Studie…
Schloss

Unternehmen nehmen Cyber-Risiko zu lax

Die Mehrheit der Unternehmen hat die Cyber-Risiken durch Drittanbieter nicht im Griff - Risiken, die durch die Komplexität ihrer Geschäftsbeziehungen und Lieferantennetzwerke verschleiert werden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.