Anzeige

Schwachstelle

Das Modul "mod_proxy" des Apache-Servers fungiert als Gateway-Komponente und unterstützt eine Vielzahl an Protokollen und Mechanismen zum Lastenausgleich (Load-Balancing) von Webdiensten wie
Videokonferenzen. Dabei kann es als "Forward-Proxy" und als "Reverse-Proxy" zum Einsatz kommen.

Mit CVE-2021-40438 wurde eine "Server-Side Request Forgery" Schwachstelle bekannt, welche es entfernten und nicht authentifizierten Angreifenden mittels speziell präparierten uri-Path-Anfragen ermöglicht, den httpd-Server dazu zu bringen, diese Anfragen an beliebige Server weiterzuleiten. Betroffen ist demnach auch die Videokonferenzlösung Cisco Expressway Series. Dem BSI ist mindestens ein Fall bekannt, bei dem es einem Angreifenden möglich war, durch Ausnutzung der Schwachstelle Hashwerte von Benutzer-Credentials vom System des Opfers zu erlangen. Die Schwachstelle betrifft alle Versionen von Apache HTTP-Server 2.4.48 oder älter.

Bewertung

Angreifende können durch Ausnutzung der Schwachstelle Ressourcen unterschiedlicher Dienste, welche auf dem jeweiligen Webserver angeboten werden, an Dritte weiterleiten. In Abhängigkeit der Konfiguration des Apache-Httpd-Dienstes ist es möglich, auch solche Dienste zu ändern oder zu deaktivieren, welche durch eine Firewall separiert sein sollten. Die Kritikalität der Schwachstelle wird mit einem Common Vulnerability Scoring System (CVSS)-Wert von 9.0 bewertet. Dies ist unter anderem mit der einfachen Ausnutzbarkeit und der Verfügbarkeit eines öffentlichen Proof of Concept (PoC) zu begründen.

Das BSI empfiehlt jedem Betreiber zu überprüfen, ob Produkte im Einsatz sind, die durch die Schwachstellen betroffen sind und die beschriebenen Maßnahmen der Hersteller bezüglich Updates und dem sicheren Betrieb der Systeme zeitnah zu berücksichtigen.

www.bsi.bund.de


Weitere Artikel

Superrechner

AI Research SuperCluster: Meta stellt „schnellsten KI-Supercomputer“ vor

Meta verkündete, dass es den AI Research SuperCluster (RSC) entwickelt hat. „Wir glauben, dass er zu den schnellsten KI-Supercomputern gehört, die heute laufen, und der schnellste KI-Supercomputer der Welt sein wird, wenn er Mitte 2022 vollständig ausgebaut…
5G

So ist der Stand bei 5G in Deutschland

"Noch nie wurde so schnell eine neue Technologie ausgerollt wie bei 5G. Erst im Sommer 2019 haben Vodafone und die Deutsche Telekom die Vermarktung ihrer 5G-Netze in Deutschland aufgenommen. Der dritte Anbieter Telefónica (o2) folgte erst gut ein Jahr später,…
RIP Grabstein

Best of Hacks: Highlights Oktober 2021

Im Oktober wurde bekannt, dass mit Syniverse ein Schlüsselunternehmen der Mobilfunkbranche gehackt wurde. Über Jahre konnten Hacker Milliarden von SMS mitlesen. Aber auch die Regierung von Argentinien, der Hardwarehersteller Acer und die Krypto-börse Coinbase…
Digitalisierung

Nach Regierungswechsel: Entscheider erwarten Digitalisierungsschub

Die Mehrheit der Spitzenkräfte aus Politik und Wirtschaft rechnet als Folge des Regierungswechsels mit Fortschritten bei der Digitalisierung - die Bevölkerung insgesamt ist deutlich skeptischer, wie eine am Montag veröffentlichte Umfrage ergab.
Free

Kostenlose Software: Freemium-Modell ist oft ineffektiv

Das im Software-Bereich gängige Freemium-Modell ist nur bedingt geeignet, wirklich Umsatz zu generieren. Das zeigt eine im "Strategic Management Journal" veröffentlichte Studie, die Daten aus Apples App Store nutzt. Insbesondere profitiert demnach gerade in…
Mobilfunk

Bundesnetzagentur denkt über Verzicht auf Mobilfunk-Auktion nach

Bei der Vergabe von Mobilfunk-Rechten deutet sich ein Verzicht auf milliardenschwere Auktionseinnahmen für den Staat an. Vor einer Sitzung des Beirats der Bundesnetzagentur am Montag in Bonn sagte Behördenchef Jochen Homann, dass er sich vorstellen könne,…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.