Ontem, analistas de segurança de tudo mundo ficaram muito preocupados com o lançamento de uma norma ferramenta para ataques direcionados ao velho apache.

O nome da ferramenta é apache killer e ela é bem simples de ser utilizada:

./killapache.pl
Apache Remote Denial of Service (memory exhaustion)
by Kingcope
usage: perl killapache.pl  [numforks]
example: perl killapache.pl www.example.com 50

Alguns de vocês já devem ter iniciado o seu download e se depararam com alguns erros na hora de rodá-la. Well, vamos falar sobre alguns detalhes:

Adicionem a linha

 #!/usr/bin/perl

logo no início do script

No seu linux, vocês irão precisar executar o comando

cpan Parallel::ForkManager

para instalar o módulo do Perl que é pré-req para esta ferramenta.

Depois disso, é apontar o alvo e testar

Diversas listas de discussão já falaram sobre essa ferramenta e sobre o tipo de ataque, o vídeo abaixo demonstra a ferramenta e o seu poder de fogo:

O interessante neste caso é que já há várias contra medidas para mitigar este ataque:

A criação de uma regra na nova versão do modsecurity.

Configuração de algumas regras utilizando o mod_rewrite, módulo este existente na grande maioria dos Apaches:

RewriteEngine On
RewriteLog /var/log/apache2/rewrite.log
RewriteLogLevel 3
RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]

Além de configurar o SetEnvIf:

SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

No momento que eu estava terminando de escrever este post, acabei encontrando mais uma série de formas de mitigar este ataque, muitas delas poderão ser verificadas no seguinte link.

Um fato interessante e que vem sendo discutido por diversos administradores de ambiente Web é que muitos dos seus Apaches estão imunes a este ataque sem ter sido inclusa ou alterada quaisquer regra ou módulo no apache. Alguns desconfiam que o mod_deflate também consegue mitigar o ataque.

Como o apache killer foi lançado ontem, mais análises e testes devem surgir até o final desta semana.

Minha opinião

Antes de você sair dizendo aos 4 ventos que o seu apache está vulnerável, baixe o script, faça as alterações recomendadas nele, além da instalação do módulo, monte um ambiente controlado com  a mesma versão e configurações do Apache e teste.

Baseado nos resultados, aí você parte para mitigação ou não.

Compartilhar:

Este post tem 6 comentários

  1. kkk internet é impressionante mesmo, mal eu vi a tool no pentestit, ela já está circulando, vou testar a ferramenta no meu site, vamos ver o poder da bixinha… O metodo de ataque é interessante , bem engenhoso.

  2. Kra é um scriptzim para D.O.S, testei essa (falta) vunerabilidade em alguns hosts onde tenho hospedado meus freelas (hostGator, Telium, HostPHP e Tecla).

    Acho que o maior problema de D.O.S é a falta da analise do projeto para definir uma capacidade média e máxima ( isto poderia ser feito por testes de stress e carga com uma analise da máquina de host -> hardware) afim de balancear e liberar ou não dados (serviços).

  3. Caros,

    Efetuei o teste em um servidor com 16 CPUs e usando um arquivo de 50M para acesso http://site.com.br/file.mov todas as CPUs ficaram em 100% e quando começou o Swap o servidor travou. Usei o script com 100 threads e depois 500, com as duas configurações travou. Testes com arquivo de menor tamanho também gerou alta CPU, porém não travou a maquina. O melhor workaround foi com o uso do Mod_Rewrite, o UNSET Range não deu muito resultado.

    abs

  4. Excelente.. Edward.. obrigado por vc ter compartilhado isso com a gente..

  5. Essa falha tem mais de 4 anos. Agora o Kingcope escreveu um exploit para explorar, mas já tinham outros priv8 por ai…

Deixe uma resposta

Fechar Menu