Уязвимость CVE-2021-41773 затрагивает только версию web-серверов Apache 2.4.49.

Организация Apache Software Foundation (ASF) выпустила исправление для уязвимости в проекте HTTP Web Server, которая уже активно эксплуатируется в хакерских атаках.

“С помощью атаки обхода каталога злоумышленник может картировать URL к файлам за пределами ожидаемого document root. Если файлы за пределами document root не защищены с помощью ‘require all denied‘, эти запросы будут успешными. Вдобавок, эта уязвимость может привести к утечке источника интерпретированных файлов, таких как скрипты CGI”, — сообщила команда ASF в журнале изменений проекта Apache HTTP Server 2.4.50.

Атаки с эксплуатацией вышеупомянутой уязвимости обнаружил исследователь безопасности Эш Долтон (Ash Daulton) и специалисты cPanel Security Team. Все они сообщили о проблеме команде Apache.

Спустя несколько часов после выхода исправленной версии 2.4.50 несколько исследователей безопасности воспроизвели уязвимость и опубликовали в Twitter и GitHub целый ряд PoC-эксплоитов.

В настоящее время Apache HTTP Server занимает первое-второе место в списке самых популярных web-серверов в мире — более 120 тыс. серверов online открыты для атак.

По иронии судьбы, хорошие новости заключаются в том, что не все серверы обновляются регулярно, и администраторы могут легко избежать эксплуатации уязвимости, пропустив обновление 2.4.49 и обновившись сразу до 2.4.50.

Источник: securitylab