Seit einigen Tagen zielen Angreifer in aller Welt auf verwundbare Internetserver auf Basis des Webservers Apache.
Dazu kam zwar recht schnell ein Sicherheitspatch heraus, aber Sicherheitsforscher fanden heraus, dass auch damit aktualisierte Server immer noch angreifbar sind.
Lücke macht Remote Code Execution möglich
Wenn Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-41773) ansetzen, könnten sie unter bestimmten Umständen mit speziellen URLs auf Dateien außerhalb des Document-Root-Verzeichnisses von Apache zugreifen.
Laut einer aktualisierten Warnmeldung von Apache ist nomalerweise der Schutzmechanismus „require all denied“ aktiviert, der vor solchen Angriffen schützen soll.
In dieser Meldung warnen die Sicherheitsforscher aber auch, dass sogar immer noch Schadcode auf die Systeme kommen kann. Wie Angreifer den als „unzureichend“ bezeichneten Patch umgehen, gibt der Text aber verständlicherweise nicht an.
Für den erweiterten Angriff wurde inzwischen die Kennung CVE-2021-42013 vergeben – eine Einstufung des Bedrohungsgrads für die beiden Lücken gibt es noch nicht. Weil die Angreifer aus der Ferne Schadcode ausführen könnten, muss man wohl zumindest von einer hohen Einstufung ausgehen.
Apache umgehend (noch einmal) patchen!
Die beiden Schwachstellen stecken nur in den beiden Versionen 2.4.49 und 2.4.50. Die aktuelle Version 2.4.51 soll nun dagegen abgesichert sein. Auch das Computer Emergency Response Team (CERT) der US-Regierung warnt vor den Angriffen und rät den Admins dringend, Apache Webserver umgehend zu patchen!
Nach einer aktuellen Statistik von Netcraft wird Apache weltweit auf ca. 25 Prozent aller Webserver benutzt. Die Suche mit Shodan zeigt, dass weltweit immer noch rund 100.000 Apache Webserver mit 2.4.49 laufen – davon stehen mehr als 10.000 in Deutschland. Apache 2.4.50 läuft weltweit auf rund 12.000 Webservern, von denen ca. 900 in Deutschland stehen.
