La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ha agregado CVE-2024-38475, una vulnerabilidad crítica que afecta a los servidores Apache HTTP, a su catálogo conocido de vulnerabilidades de explotación (KEV).
Esta vulnerabilidad permite que un atacante mapee las URL a ubicaciones no intencionadas del sistema de archivos, lo que podría conducir a la ejecución del código o la divulgación de código fuente.
Las organizaciones deben implementar la mitigación antes del 22 de mayo de 2025 bajo la directiva operativa vinculante de CISA.
Apache Mod_rewrite Vulnerabilidad-CVE-2024-38475
CVE-2024-38475 se debe al escape incorrecto de la salida en el módulo Mod_rewrite del servidor Apache HTTP.
La vulnerabilidad que recibió una puntuación CVSS de 9.1 permite que un atacante mapee las URL a las ubicaciones del sistema de archivos que el servidor permite que proporcione pero no se puede acceder intencionalmente a través de la URL. Esto puede dar lugar a la ejecución del código arbitraria o la divulgación del código fuente.
“La causa raíz de esta vulnerabilidad ocurre durante la etapa de truncamiento debido al hecho de que el nombre de archivo R-> se trata como una ruta de URL en lugar de una ruta del sistema de archivos”, explica los investigadores de seguridad de Watchtowr Labs, quienes analizaron Exploit.
La vulnerabilidad afecta específicamente a los “contextos alternativos del servidor utilizando fondos o variables como el primer segmento de la alternativa”.
La tecnología de explotación aprovecha la vulnerabilidad de la confusión del nombre de archivo para permitir la explotación de los símbolos del signo de interrogación (%3F) y trunaba la ruta construida final.
Cuando se explota con éxito, un atacante puede acceder a archivos del sistema confidenciales que normalmente están protegidos.
Factores de riesgo Detalles Atentados Productos Autorizados El servidor HTTP 2.4.59 y la ejecución de HttpactCode o la divulgación del código fuente se requiere a través de la autenticación MOD_REWRITEEXPLOIT Requisitos no. Un atacante puede enviar solicitudes creadas a través de la red. MOD_REWRiteAnEnseDCVSS3.1 puntuación9.1 (crítico) requerido
alivio
La CISA recomienda que las organizaciones tomen medidas de inmediato.
Actualice a Apache HTTP Server Versión 2.4.60 o posterior. Esto incluye soluciones para esta vulnerabilidad. Si no es posible parches inmediatos, verifique y modifique las reescrituras afectadas para asegurarse de que los reemplazos estén correctamente restringidos. Para los usuarios de SonicWall SMA, parche el dispositivo inmediatamente y verifique los registros para obtener acceso no autorizado.
Las organizaciones que utilizan electrodomésticos afectados deben implementar proyectos de separación de microsegmentación y cero separación de confianza para minimizar el posible movimiento lateral.
En la configuración de Apache, las reglas afectadas se pueden volver a su comportamiento anterior utilizando la nueva reescritura “UnsafePrefixStat”, pero solo después de verificar que la alternativa está correctamente limitada.
CISA afectará esta vulnerabilidad “un componente de código abierto común, bibliotecas de terceros o protocolos utilizados por varios productos”, y aconseja a las organizaciones que reparen información a proveedores específicos.
Las organizaciones deben priorizar esta vulnerabilidad en sus esfuerzos de remediación a medida que la explotación activa continúa en múltiples sectores.
¿Eres de los equipos SOC y DFIR? -Inicie los incidentes de malware en tiempo real.
