La Fondation Apache Software a publié le 4 octobre un correctif de sécurité visant à corriger une vulnérabilité dans le serveur Web HTTP, qui a été activement exploitée dans la nature. Répertoriée sous le nom de CVE-2021-41773, la vulnérabilité n'affecte que les serveurs web Apache avec la version 2.4.49 et se produit en raison d'un bug dans la façon dont le serveur Apache convertit les différents schémas de chemin d'accès aux URL (un processus appelé normalisation de chemin ou d'URI).

Un attaquant pourrait utiliser une attaque de path traversal pour faire correspondre des URL à des fichiers situés en dehors de la racine du document attendu. Si les fichiers ne sont pas protégés par 'require all denied', ces requêtes peuvent aboutir. En outre, cette faille peut entraîner une fuite de la source des fichiers interprétés, comme les scripts CGI.

Les attaques exploitant ce bug ont été repérées par Ash Daulton et l'équipe de sécurité de cPanel, qui ont signalé le problème à l'équipe Apache.

Quelques heures après la publication de la version 2.4.50, plusieurs chercheurs en sécurité ont été en mesure de reproduire la vulnérabilité et de publier de nombreux exploits de type "proof-of-concept" sur Twitter et GitHub.

Il est fortement recommandé aux utilisateurs d'Apache d'appliquer le correctif dès que possible pour contenir la vulnérabilité de path traversal et atténuer tout risque associer à l'exploitation active de la faille.