Apache Software Foundation ha lanzado actualizaciones del servidor web HTTP para corregir tres vulnerabilidades: CVE-2021-41773, CVE-2021-41524 y CVE-2021-42013, esta última se debe a una corrección insuficiente de la CVE-2021-41773 lanzada en la versión 2.4.50 de Apache Server.

Las versiones afectadas son:

• Apache HTTP Server 2.4.49
• Apache HTTP Server 2.4.50

Descripción:

La vulnerabilidad de día cero explotada activamente identificada como CVE-2021-41773, permite a los atacantes acceder a archivos fuera del directorio raíz, manipulando la URL. Los ataques de directorio transversal implican el envío de solicitudes para acceder a directorios de servidores sensibles o de back-end que deberían estar fuera de su alcance. Normalmente, estas solicitudes se bloquean, pero en este caso, los filtros se omiten mediante el uso de caracteres codificados ASCII para las URL. Además, las vulnerabilidades de esta falla pueden dar lugar a la filtración de la fuente de los archivos interpretados, como los scripts CGI.

Igualmente podría derivar en la filtración de archivos de configuración u otros que puedan contener información sensible. Para que el ataque funcione, el objetivo debe ejecutar Apache HTTP Server 2.4.49, y también debe tener deshabilitado el parámetro de control de acceso requerir todo denegado. Se debe tener en cuenta que esta es la configuración predeterminada. Las versiones anteriores de Apache Server o las que tienen una configuración de acceso diferente no son vulnerables a esta falla.

La segunda vulnerabilidad identificada como CVE-2021-41524, se debe a que no se detectó ningún puntero de referencia durante el procesamiento de solicitudes HTTP/2. Esta falla permite que un actor malintencionado realice un ataque de Denegación de Servicio (DoS) en el servidor comprometido. Esta falla también existe solo en la versión 2.4.49 del servidor Apache, pero no se tiene conocimiento de explotación activa.

La actualización 2.4.50 lanzada por Apache Foundation para corregir la vulnerabilidad de ataque de directorio transversal (path traversal attack) CVE-2021-41773, provocó la nueva vulnerabilidad crítica identificada como CVE-2021-42013. Como resultado de esta falla, los atacantes pueden volver a ejecutar un ataque directorio transversal, lo que afecta a los usuarios del servidor web Apache 2.4.49 y 2.4.50. Para solucionar la falla Apache ha lanzado la versión 2.4.51 de su Servidor Web.

Recomendaciones:

• Actualizar a la última versión (Apache HTTP Server 2.4.51) para mitigar el riesgo asociado a las vulnerabilidades descritas.

Referencias:

• https://httpd.apache.org/security/vulnerabilities_24.html
• https://nvd.nist.gov/vuln/detail/CVE-2021-41773
• https://nvd.nist.gov/vuln/detail/CVE-2021-41524
• https://nvd.nist.gov/vuln/detail/CVE-2021-42013