Varovanie pred neaktualizovanými a zastaranými verziami Apache HTTP Server
Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred používaním neaktualizovaných systémov Apache HTTP Server.
Apache HTTP Server (Apache httpd) je voľne dostupná implementácia HTTP webového servera. Na základe nedávno zverejnenej štúdie spoločnosti NETCRAFT je celosvetovo nainštalovaných viac než 48 miliónov Apache HTTP serverov a podľa verejne dostupných zdrojov je na najnovšej verzii 2.4.51 (vydanej 07. 10. 2021) menej než 1% z týchto serverov. Na Slovensku je technológia Apache s prehľadom najpoužívanejšia technológia pre webserver.
*Podiel aktuálnych verzií je vypočítaný zo všetkých na internete viditeľných zariadení
V slovenskom kybernetickom priestore bolo k dátumu 9. 12. 2021 identifikovaných 184 644 web serverov, z toho je 24 429 inštalácií Apache httpd. Na aktuálnej stabilnej verzii (2.4.51) je 435 serverov, čo znamená, že skoro 98,2 % Apache httpd serverov v SR je neaktualizovaných. Hľadanie zraniteľností v SR odhalilo tisíce zastaraných verzií, napr. 925 inštancií verzie 2.2.22 z januára 2012.
Top 6 najviac používaných verzií Apache httpd v slovenskom kybernetickom priestore
Verzia |
Dátum vydania |
Počet zariadení |
2.4.6 |
|
1 887 |
2.4.38 |
|
1 650 |
2.4.25 |
|
1 443 |
2.4.41 |
|
1 125 |
2.2.22 |
|
925 |
2.4.10 |
15.07.2014 |
892 |
Zdroj: NCKB SK-CERT
Niektoré inštancie sa dajú nazvať archaickými. Aj verzie z radu 1.3, ktoré už od roku 2010 nie sú podporované, majú v SR naďalej zastúpenie v počte 74 inštalácií. Apache httpd 1.3.33 z októbra 2004 je na 20 zariadeniach, verzia 1.3.26 na 1 zariadení a 1.3.27 na 2 zariadeniach. Vyhľadať sa dá aj viacero zariadení s kritickými zraniteľnosťami, ktoré umožňujú vzdialené spustenie škodlivého kódu napr.: CVE-2003-0789 (16 zariadení), CVE-2004-0492 (18 zariadení) a CVE-2005-2700 (52 zariadení).
NCKB SK-CERT pravidelne zasiela adresné varovania a viacero subjektov už aktualizovalo svoje systémy. Napriek tomu na zraniteľnosť CVE-2019-0211 z roku 2019, ktorá umožňuje lokálnemu útočníkovi s právami používateľa eskalovať svoje privilégiá a spustiť škodlivý kód, je na Slovensku zraniteľných 5424 zariadení. Na nedávno medializované aktívne zneužívané zraniteľnosti týkajúce sa Apache HTTP Server 2.4.49 a 2.4.50, ktoré sa vývojárom Apache nepodarilo opraviť na prvý pokus je k 30. novembru 2021 zraniteľných len 13 zariadení.
Kritickú zraniteľnosť CVE-2018-1312 má stále na Slovensku 9223 inštalácií Apache httpd.
V súčasnosti podporovaná rada Apache httpd 2.4 má spolu 87 zraniteľností a medzi novšie patrí napr. zraniteľnosť CVE-2021-39275. Zraniteľnosť sa potenciálne týka Apache httpd vo verzii staršej ako 2.4.49 s externými modulmi alebo modulmi poskytovanými treťou stranou. Vývojári Apache túto zraniteľnosť hodnotia ako zraniteľnosť s nízkou závažnosťou, avšak v databáze NIST (Národný inštitút štandardov a technológie USA) je hodnotená ako kritická bezpečnostná zraniteľnosť s hodnotením CVSS 9.8.
Ďalšia kritická zraniteľnosť CVE-2021-40438 týkajúca sa Apache httpd vo verzii staršej ako 2.4.49 so skóre CVSS 9.0 sa nachádza v module proxy. Americká agentúra pre kybernetickú bezpečnosť a infraštruktúru (CISA) túto zraniteľnosť 01. decembra 2021 označila za významnú hrozbu, ktorá je aktívne zneužívaná útočníkmi.
Nie všetky zraniteľnosti sú aktívne zneužívané, ale mnoho z nich umožňuje dokonca automatizované útoky, ktoré môžu mať nesmierne dopady.
Vzhľadom na množstvo zariadení Apache httpd (na Slovensku najpoužívanejšia webová technológia), rozsiahle následky, ktoré môže mať automatizovaný útok je možné konštatovať, že sú pre kyberzločincov atraktívnym cieľom. Národné centrum kybernetickej bezpečnosti SK-CERT preto dôrazne odporúča:
- ihneď aktualizovať Apache httpd na najnovšiu verziu,
- zaviesť proces pravidelných aktualizácií,
- pravidelne overovať, aké služby a porty sú dostupné z internetu,
- pokiaľ je to možné, webový server nevystaviť priamo do internetu, ale skryť ho za webový aplikačný firewall (WAF), ktorý poskytuje prvú líniu efektívnej ochrany vašej webovej služby.
« Späť na zoznam