Acabou de sair uma pesquisa sobre o Apache que demonstra que um dos módulos mais utilizados, o mod_proxy, possui uma séria vulnerabilidade que pode ser explorada remotamente e que o atacante terá como resultado, o acesso a toda a infra que fica na DMZ ou na rede interna onde o apache está hospedado. 🙂

Vejam a imagem abaixo que explica como funciona o mod_proxy:

Vejam as palavras do pesquisador:

“We can access any internal/DMZ system which the proxy can access including administration interfaces on firewalls, routers, web servers, databases etc.,”

Para sorte de muitos que trabalham com a administração de servidores Apache, já há uma aplicação, a CAT, que está disponível para você testar se aquela URL que tem configurada o Mod_rewrite está vulnerável ou não.

A figura abaixo apresenta o tipo do ataque, a vulnerabilidade e o resultado no momento que ela, a vulnerabilidade, é explorada:

O mais interessante é que vários analistas de segurança já começaram a testar alguns ataques, após invasão do servidor comprometido pela vulnerabilidade do apache citada acima e injetaram arquivos .WAR e JBOSS infectados com trojans, mas isso vai além. É possível comprometer banco de dados , servidores aplicacionais javas de diversos fabricantes e até mesmo toda a rede de uma empresa.

Mas calma, nem tudo está perdido porque a fundação Apache já lançou um patch de correção para este problema, mas o mais recomendado é atualizar o seu apache para última versão, a 2.2.21

P.S.: E vejam que não é só o Apache que pode estar com problemas devido a essa vulnerabilidade, IIS, Nginx e tantos outros podem sofrer do mesmo mal se eles estiverem utilizando a mesma base do mod_proxy e ou rewrite em seu código.

P.S.S.:  A apache foundation liberou um patch, o protocol.c para implementar nos apaches, mas requer a compilação. Acho mais vantagem compilar o apache 2.2.21.

P.S.S.S.: O pessoal vem discutindo que o módulo afetado foi o mod_proxy utilizando algumas condições específicas com o rewrite.

boa sorte. 🙂