Les organisations sont invitées à s'assurer que leurs serveurs HTTP Apache sont à jour, après qu'il a été révélé qu'une vulnérabilité récemment corrigée a été exploitée dans des attaques.

La vulnérabilité, connue sous le nom de CVE-2021-40438, est une falsification de requête côté serveur (SSRF) qui peut être exploitée contre les serveurs web httpd dont le module mod_proxy est activé. Un attaquant peut tirer parti de cette faille critique en utilisant une requête spécialement conçue pour que le module transmette la requête à un serveur d'origine arbitraire.

Le problème a été identifié par l'équipe de sécurité HTTP d'Apache lors d'une enquête sur une autre vulnérabilité. Ce bug affecte les versions 2.4.48 et antérieures, et a été corrigé en septembre avec la publication de la version 2.4.49.

Fastly a rapporté à l'époque que plus de 500 000 serveurs exécutant des versions vulnérables de httpd avaient été découverts, mais la société a souligné que les services en cloud computing tels que AWS, Microsoft Azure et Google Cloud Platform fournissaient des protections contre de telles attaques, ce qui signifie que la faille affecte principalement les organisations utilisant leurs propres serveurs httpd.

Plusieurs exploits de preuve de concept (PoC) ont été publiés pour CVE-2021-40438. L'Office fédéral allemand de la sécurité de l'information (BSI) et Cisco ont signalé avoir vu des attaques exploitant cette vulnérabilité.

L'avis de Cisco décrit l'impact de cinq vulnérabilités d'Apache HTTP Server sur les produits du géant des réseaux. Jusqu'à présent, l'entreprise a confirmé que ses produits Prime Collaboration Provisioning, Security Manager, Expressway series et TelePresence Video Communication Server étaient touchés, mais de nombreux autres produits font encore l'objet d'une enquête.

Cisco a souligné que son équipe de réponse aux incidents de sécurité des produits (PSIRT) a eu connaissance ce mois-ci de "tentatives d'exploitation" de CVE-2021-40438.

L'alerte émise la semaine dernière par le BSI allemand révèle que l'agence a connaissance d'au moins un cas où un attaquant a exploité cette vulnérabilité pour obtenir les valeurs de hachage des informations d'identification d'un utilisateur à partir d'un système ciblé.

L'avertissement concernant CVE-2021-40438 intervient quelques semaines seulement après l'annonce de l'exploitation active d'une autre vulnérabilité du serveur HTTP Apache. Cette faille, connue sous le nom de CVE-2021-41773, permet la traversée de chemins et l'exécution de code à distance.

Pour conclure, les organisations utilisant leurs propres serveurs apache httpd sont fortement recommandées de mettre à jour leurs serveurs apache vers la dernière version.