Kürzlich veröffentliche Apache ein als “wichtig” gekennzeichnetes Sicherheitsupdate für den Apache “httpd”, das CVE-2021-41773 schließt. Der Apache Webserver “httpd” ist eine weit verbreitete Software zum Ausliefern von Webseiten. Das zugehörige Modul “mod_cgi” wird zur Bereitstellung von dynamischen Inhalten auf Basis von Skriptsprachen genutzt.
In der Vergangenheit war dies der de-facto-Standard zur Anbindung von zum Beispiel Perl- und Python-basierten Webanwendungen. Die Auswirkung der Schwachstelle wurde als “Path Traversal & Information Disclosure” beschrieben. Verschiedene Medien berichteten inklusive eines Proof-of-Concept (PoC) über den Sachverhalt. Am 6.10.2021 veröffentlichte das Sicherheitsunternehmen Rapid7 einen Blog-Eintrag, der darlegt, dass die Schwachstelle ebenfalls zur Ausführung von Betriebssystemkommandos durch unauthentifizierte Angreifer verwendet werden kann. Die Standardkonfiguration des “httpd” ist in Kombination mit dem aktivierten Modul “mod_cgi” für den Angriff verwundbar. Einige Distributionen, beispielsweise Debian, liefern modifizierte Standardkonfigurationen aus, die auch in der Vergangenheit und mit aktiviertem “mod_cgi” nicht für die Schwachstelle verwundbar waren.
Das Modul “mod_cgi” wird standardmäßig mit dem “httpd” ausgeliefert und hat in der Vergangenheit lange Zeit als Standard-Schnittstelle zwischen “httpd” und Scriptsprachen wie Perl oder Python gedient. Es ist wahrscheinlich, dass das Modul bei einem Teil der verwundbaren Instanzen aktiviert ist.
Bewertung
Nach ersten Betrachtungen werden in Deutschland etwa 12.000 Systeme mit der verwundbaren Version 2.4.49 betrieben. Wie viele Systeme davon zusätzlich das Modul “mod_cgi” aktiviert haben, ist zur Zeit unklar. Über eine aktive Ausnutzung der Lücke wird jedoch bereits berichtet. Die veröffentlichten Proof-of-Concepts können leicht für Angriffe missbraucht werden und so zum Beispiel für Datenabfluss aus den betriebenen Webanwendungen und die vollständige Übernahme des Servers verwendet werden. Sollte eine verwundbare Konfiguration vorliegen, ist davon auszugehen, dass diese Systeme bereits durch Angreifer kompromittiert worden sind.
Maßnahmen
Das BSI empfiehlt dringend, die aktuelle Version des Apache “httpd” einzuspielen, die vom Hersteller veröffentlicht worden ist. Diese kann über die für die entsprechende Distribution üblichen Update-Prozesse bezogen werden.Die Konfiguration des Webservers sollte unabhängig vom Update eine Direktive enthalten, die den Zugriff auf das Wurzelverzeichnis grundsätzlich untersagt. Sollte diese Direktive – wie beispielsweise bei der mit Debian ausgelieferten Konfiguration – bereits vorhanden sein, ist die eingesetzte Konfiguration nicht für diese Schwachstelle verwundbar.Von Apache wird die folgende Konfiguration empfohlen:
<Directory />
Require all denied
</Directory>
Sofern “mod_cgi” aktiviert ist, sollte überprüft werden, ob dies benötigt wird oder deaktiviert werden kann. Sollte eine anfällige Konfiguration vorliegen und der Webserver aus dem Internet erreichbar sein, ist davon auszugehen, dass die Systeme bereits kompromittiert wurden. In diesem Fall sollten Backups eingespielt und Logs und verbundene Systeme auf Unregelmäßigkeiten geprüft werden. Die gegebenenfalls im Sicherheitskonzept vorgesehenen Maßnahmen im Falle einer Kompromittierung sollten unabhängig davon ergriffen werden.
Mögliche Maßnahmen im Falle einer Kompromittierung können sein:
• Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Angreifenden im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel ziehen. Gerät nicht herunterfahren oder ausschalten. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (eigene, durch Dienstleister oder Strafverfolgungsbehörden) erstellen
• Alle auf betroffenen Systemen gespeicherten bzw. nach der Infektion eingegebenen Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden. Dies umfasst u. a. Datenbanken, Applikationsserver, SSH und Fileserver etc.
• Prüfen Sie, ob Sie saubere, integre Backups haben.
Weitere Informationen wie Sie im Falle einer IT-Sicherheitsvorfalls reagieren sollten, finden Sie auf der Webseite des BSI in der Rubrik “IT-Sicherheitsvorfall”. Des Weiteren sollte der Webserver immer mit möglichst geringen Nutzerrechten ausgeführt werden und möglichst restriktive Security-Enhanced (SE)-Linux Beschränkungen konfiguriert erfahren.
www.bsi.bund.de