Severity: Critical

CVSS: 9.8

CVSSv3 Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Mô tả:

Ngày 02/02/2023, một lỗ hổng nghiêm trọng đã được tìm thấy trong cấu hình mod_proxy của Apache HTTP Server. Lỗ hổng này cho phép kẻ tấn công dễ dàng vượt qua kiểm soát truy cập bằng cách gửi các HTTP request độc hại qua máy chủ proxy (kiểu tấn công HTTP Request Smuggling).

Lỗ hổng xảy ra khi mod_proxy được cấu hình với RewriteRule hoặc ProxyPassMatch sử dụng mẫu không cụ thể để khớp một phần dữ liệu request-target (URL) do người dùng cung cấp, sau đó được chèn lại vào request được ủy quyền bằng cách sử dụng biến thay thế.

Ví dụ với cấu hình:

RewriteEngine on #-> enable the rewrite engine
RewriteRule "^/here/(.*)" "http://example.com:8080/elsewhere?param=$1"; [P]
ProxyPassReverse /here/ http://example.com:8080/
Khi user tạo request http://example.com/here/malicious_code, RewriteRule sẽ match giá trị malicious_code để chuyển request thành http://example.com:8080/elsewhere?param=malicious_code . Với [P] flag, Apache sẽ xem URL được chuyển đổi này như một proxy request và forward nó tới server để xử lý tiếp tại http://example.com:8080/elsewhere.

Kẻ tấn công chỉ cần sửa malicious_code thành mã tấn công HTTP request Smuggling để bypass access controls trên proxy server.

Tác động của lỗ hổng này là nó cho phép kẻ tấn công truy cập các ứng dụng nội bộ vốn bị reverse proxy ẩn giấu, có khả năng dẫn đến truy cập trái phép, rò rỉ dữ liệu hoặc khai thác thêm.

Phiên bản bị ảnh hưởng:

Apache HTTP Server versions từ 2.4.0 tới 2.4.55.
Phiên bản không bị ảnh hưởng:
Apache HTTP Server version 2.4.56 hoặc mới hơn.

Cách khắc phục:

Phòng SOC khuyến nghị System Admins cập nhật Apache HTTP Server, đảm bảo hệ thống đang chạy ở phiên bản 2.4.56 trở lên.

Nếu chưa thể cập nhật Apache HTTP Server, cần:

Vô hiệu hóa mô-đun mod_proxy nếu không cần thiết sử dụng.
Cấu hình module mod_proxy để nó không sử dụng các mẫu không cụ thể (.*) để khớp một phần dữ liệu request-target do người dùng cung cấp.

Tham khảo:

https://socradar.io/apache-http-server-vulnerability-cve-2023-25690-poc-available/
https://nvd.nist.gov/vuln/detail/CVE-2023-25690
https://github.com/dhmosfunk/CVE-2023-25690-POC