Apache-Webserver Bug gewährt Root-Zugriff auf Shared Hosting Umgebung

Die Apache Software Foundation hat eine schwere Schwachstelle im Apache (httpd)-Webserverprojekt gepatcht, die es unter bestimmten Umständen ermöglichen könnte, dass Rogue-Server-Skripte Code mit Root-Rechten ausführen und den zugrunde liegenden Server übernehmen. Die Schwachstelle, die als CVE-2019-0211 verfolgt wird, betrifft Apache Webserver-Releases von 2.4.17 bis 2.4.38 und wurde diese Woche mit der Veröffentlichung der Version 2.4.39 behoben.

Nach Angaben des Apache-Teams können weniger privilegierte Apache-Kindprozesse (wie CGI-Skripte) bösartigen Code mit den Rechten des übergeordneten Prozesses ausführen. Da auf den meisten Unix-Systemen Apache httpd unter dem Root-Benutzer ausgeführt wird, kann jeder Bedrohungsakteur, der ein bösartiges CGI-Skript auf einem Apache-Server installiert hat, CVE-2019-0211 verwenden, um das zugrundeliegende System zu übernehmen, das den Apache httpd-Prozess ausführt, und die gesamte Maschine zu kontrollieren.

Ein großes Problem für Shared-Hosting Betreiber

Die Schwachstelle stellt zwar keine unmittelbare und spürbare Bedrohung für Entwickler und Unternehmen dar, die ihre eigene Serverinfrastruktur betreiben, aber das Problem ist eine kritische Schwachstelle in Shared Web Hosting-Umgebungen.

"Zuerst einmal ist es eine LOKALE Schwachstelle, was bedeutet, dass Sie eine Art Zugriff auf den Server benötigen", sagte Charles Fol, der Sicherheitsforscher, der diese Schwachstelle entdeckt hat. Das bedeutet, dass Angreifer entweder Konten bei Shared Hosting-Providern registrieren oder bestehende Konten kompromittieren müssen.

Sobald dies geschieht, muss der Angreifer nur noch ein bösartiges CGI-Skript über das Control Panel seines gemieteten/kompromittierten Servers hochladen, um die Kontrolle über den Server des Hosting-Providers zu übernehmen, um Malware zu installieren oder Daten von anderen Kunden zu stehlen, die Daten auf demselben Computer gespeichert haben.

"Der Webhoster hat über das Root-Konto vollen Zugriff auf den Server. Wenn einer der Benutzer die von mir gemeldete Schwachstelle erfolgreich ausnutzt, erhält er/sie vollen Zugriff auf den Server, genau wie der Webhoster", sagte Fol. "Das bedeutet, dass jede Datei/Datenbank der anderen Clients gelesen, geschrieben oder gelöscht werden kann."

Auch andere Apache-Installationen in Gefahr

Aber Fol sagte auch, dass CVE-2019-0211, nur durch seine Anwesenheit, automatisch jedes andere Server-Sicherheitsproblem erweitert - sogar für Apache-Webserver, die nicht Teil von Shared-Hosting-Umgebungen sind. "Für Angreifer oder Pentester, nachdem sie einen Apache HTTP-Server kompromittiert haben, erhalten sie im Allgemeinen ein Konto mit niedrigen Rechten (im Allgemeinen www-Daten)", sagte Fol.

Aber jeder Fehler bei der Verzeichnisübergabe oder der Ausführung von Remote-Code, der es einem Angreifer ermöglicht, ein CGI-Skript hochzuladen, bedeutet nun auch einen automatischen Root-Zugriff als Ergebnis von CVE-2019-0211, so Fol. Aus diesem Grund ist es ein Muss, diesen Fehler zu reparieren. In erster Linie für Shared Hosting Provider und dann auch für Unternehmen, die Apache auf privaten, nicht geteilten Servern betreiben - die jedoch mit einem geringeren Angriffsrisiko konfrontiert sind.