Das Modul “mod_proxy” des Apache-Servers fungiert als Gateway-Komponente und unterstützt eine Vielzahl an Protokollen und Mechanismen zum Lastenausgleich (Load-Balancing) von Webdiensten wie
Videokonferenzen. Dabei kann es als “Forward-Proxy” und als “Reverse-Proxy” zum Einsatz kommen.
Mit CVE-2021-40438 wurde eine “Server-Side Request Forgery” Schwachstelle bekannt, welche es entfernten und nicht authentifizierten Angreifenden mittels speziell präparierten uri-Path-Anfragen ermöglicht, den httpd-Server dazu zu bringen, diese Anfragen an beliebige Server weiterzuleiten. Betroffen ist demnach auch die Videokonferenzlösung Cisco Expressway Series. Dem BSI ist mindestens ein Fall bekannt, bei dem es einem Angreifenden möglich war, durch Ausnutzung der Schwachstelle Hashwerte von Benutzer-Credentials vom System des Opfers zu erlangen. Die Schwachstelle betrifft alle Versionen von Apache HTTP-Server 2.4.48 oder älter.
Bewertung
Angreifende können durch Ausnutzung der Schwachstelle Ressourcen unterschiedlicher Dienste, welche auf dem jeweiligen Webserver angeboten werden, an Dritte weiterleiten. In Abhängigkeit der Konfiguration des Apache-Httpd-Dienstes ist es möglich, auch solche Dienste zu ändern oder zu deaktivieren, welche durch eine Firewall separiert sein sollten. Die Kritikalität der Schwachstelle wird mit einem Common Vulnerability Scoring System (CVSS)-Wert von 9.0 bewertet. Dies ist unter anderem mit der einfachen Ausnutzbarkeit und der Verfügbarkeit eines öffentlichen Proof of Concept (PoC) zu begründen.
Das BSI empfiehlt jedem Betreiber zu überprüfen, ob Produkte im Einsatz sind, die durch die Schwachstellen betroffen sind und die beschriebenen Maßnahmen der Hersteller bezüglich Updates und dem sicheren Betrieb der Systeme zeitnah zu berücksichtigen.
www.bsi.bund.de