Eskalacja uprawnień do root na serwerze HTTP Apache. Exploit aktywuje się o 6:25 każdego dnia

13 września 2019, 14:20 | W biegu | komentarze 3
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Podatność została załatana już w kwietniu, teraz mamy bardzo szczegółowe informacje odnośnie samej podatności + jako bonus exploit wykorzystujący 0-day w PHP (choć warto podkreślić że do wykorzystania błędu nie jest konieczny sam PHP, autor zaprezentował PoCa tylko ze względu na popularność tej pary). Tak jak wspomniałem w tytule, podatność jest klasy privilege escalation do root (czyli atakujący potrzebuje mieć już jakiś dostęp na atakowanej maszynie – np. mieć możliwość wgrywania skryptów PHP).

Kto jeszcze nie zaktualizował się do minimum wersji 2.4.38 serwera HTTP od Apache, warto to zrobić. Sam exploit na podatność CVE-2019-0211 aktywuje się 0 6:25 rano – o tej porze często działa narzędzie logrotate, które przy okazji restartuje serwer HTTP:

In standard Linux configurations, the logrotate utility runs this command once a day, at 6:25AM, in order to reset log file handles.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Zerg

    Wymagany jest dostęp r/w do pamięci workera Apache, czyli działa np. z mod_php, który współdzieli z nim pamięć, natomiast nie zadziała z żadną formą CGI. To eskalacja z poziomu nieuprzywilejowanego workera httpd do nadrzędnego, uprzywilejowanego.

    Odpowiedz
  2. Marcin

    W jaki najlepszy sposób zabezpieczyć serwer np. Ubuntu, przed tą podatnością, jeżeli distro w swoich repozytoriach nie udostępnia wyższej wersji ? Przez zainstalowanie apache2 z innego repo ? Czy istnieją inne metody ?

    Odpowiedz
    • Marcin

      Witaj Marcin, wystarczy aktualizacja. Komendą ‚apt changelog apache2’ sprawdzasz czy dana podatność została załatana w bieżącej wersji pakietu.

      Odpowiedz

Odpowiedz