Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Eskalacja uprawnień do root na serwerze HTTP Apache. Exploit aktywuje się o 6:25 każdego dnia
Podatność została załatana już w kwietniu, teraz mamy bardzo szczegółowe informacje odnośnie samej podatności + jako bonus exploit wykorzystujący 0-day w PHP (choć warto podkreślić że do wykorzystania błędu nie jest konieczny sam PHP, autor zaprezentował PoCa tylko ze względu na popularność tej pary). Tak jak wspomniałem w tytule, podatność jest klasy privilege escalation do root (czyli atakujący potrzebuje mieć już jakiś dostęp na atakowanej maszynie – np. mieć możliwość wgrywania skryptów PHP).
Kto jeszcze nie zaktualizował się do minimum wersji 2.4.38 serwera HTTP od Apache, warto to zrobić. Sam exploit na podatność CVE-2019-0211 aktywuje się 0 6:25 rano – o tej porze często działa narzędzie logrotate, które przy okazji restartuje serwer HTTP:
In standard Linux configurations, the
logrotate
utility runs this command once a day, at 6:25AM, in order to reset log file handles.
–ms
Wymagany jest dostęp r/w do pamięci workera Apache, czyli działa np. z mod_php, który współdzieli z nim pamięć, natomiast nie zadziała z żadną formą CGI. To eskalacja z poziomu nieuprzywilejowanego workera httpd do nadrzędnego, uprzywilejowanego.
W jaki najlepszy sposób zabezpieczyć serwer np. Ubuntu, przed tą podatnością, jeżeli distro w swoich repozytoriach nie udostępnia wyższej wersji ? Przez zainstalowanie apache2 z innego repo ? Czy istnieją inne metody ?
Witaj Marcin, wystarczy aktualizacja. Komendą 'apt changelog apache2′ sprawdzasz czy dana podatność została załatana w bieżącej wersji pakietu.