CVE-2019-0211 é uma nova vulnerabilidade no software Apache HTTP Server. O bug que foi descoberto pelo pesquisador de segurança da Ambionics Charles Fol já foi corrigido na versão mais recente do software, 2.4.39.
A atualização deve ser aplicada imediatamente – o servidor Apache HTTP é um dos servidores web mais usados, alimentando quase 40 por cento da internet.
CVE-2019-0211 Descrição Oficial
No servidor HTTP Apache 2.4 lançamentos 2.4.17 para 2.4.38, com evento MPM, trabalhador ou prefork, código em execução em processos ou threads filho menos privilegiados (incluindo scripts executados por um interpretador de scripts em processo) poderia executar código arbitrário com os privilégios do processo pai (geralmente root) manipulando o placar. Sistemas não-Unix não são afetados.
Isso significa que a vulnerabilidade afeta as versões do Apache HTTP Server de 2.4.17 para 2.4.38. Em resumo, uma exploração pode permitir que qualquer usuário menos privilegiado execute código arbitrário com privilégios de root em servidores vulneráveis.
De acordo com o pesquisador próprio relatório, a exploração do CVE-2019-0211 é um processo de quatro etapas.
O primeiro passo é obter acesso R/W em um processo de trabalho, em seguida, escreva uma estrutura prefork_child_bucket falsa no SHM. O próximo passo requer fazer all_buckets[balde] apontar para a estrutura. E finalmente, o atacante terá que esperar 6:25AM para obter uma chamada de função arbitrária.
A vantagem do exploit é que o processo principal nunca sai, então sabemos onde tudo está mapeado lendo /proc/self/maps (ASLR/PIE inútil). “Quando um trabalhador morre (ou falhas de segmentação), é reiniciado automaticamente pelo processo principal, então não há risco de DOSing Apache,”O pesquisador acrescentou.
Um problema do exploit é que “PHP não permite ler/escrever /proc/self/mem, que nos impede de simplesmente editar o SHM – all_buckets é realocado após uma reinicialização normal (!)”.
Parece que a vulnerabilidade é mais preocupante para serviços de hospedagem compartilhada, onde os agentes de ameaças com a capacidade de executar scripts PHP ou CGI em um site podem utilizar a falha para obter acesso root no servidor. Isso acabaria comprometendo todos os outros sites hospedados no mesmo servidor.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: