Apache har precis släppt fler korrigeringar för att korrigera de två kritiska sårbarheterna i Apache HTTP Server-programvara, vilket skulle göra det möjligt för en angripare att exekvera fjärrkod och ta över sårbara system.
Apache HTTP Server v2.4.49 och v2.4.50 påverkas med två sårbarheter, där en av dem redan exploateras aktivt av angripare i det vilda, enligt CISA. Eftersom sökningen efter sådana sårbara servrar sker snabbt, varnar experter systemadministratörer att tillämpa patchuppdateringarna omedelbart.
Apache HTTP-serversårbarheter
Tidigare i veckan hittade Ash Daulton från cPanels säkerhetsteam två sårbarheter i Apaches HTTP-server v2.4.49, vilket gjorde att en angripare kunde utnyttja för att ta över systemen.
Namngiven CVE-2021-41773 & CVE-2021-42013Apache släppte omedelbart en uppdaterad version av sin programvara som v2.4.50men även detta har buggar som hittats av Shungo Kumasaka, Dreamlab Technologies Juan Escobar och NULL Life CTF:s Fernando Muñoz.
De har skapat bedrifter direkt efter att de hittat dem och släppt dem till allmänheten för testning. Tyvärr triggade detta många att lägga vantarna på sårbara Apache-servrar, inklusive illvilliga aktörer. CISA rapporterade till och med att de senaste korrigeringarna inte var tillräckliga för att korrigera problemet, eftersom de redan hittat angripare som utnyttjar sårbarheten CVE-2021-41773.
Därför har Apache Software Foundation nu kommit med ytterligare två korrigeringar för att korrigera problemet och uppmanar alla att tillämpa dem omedelbart. Flera experter citerar olika siffror av exponerade Apache HTTP-servrar i det vilda, med Censys CTO som hävdar att de är över 21 000 i naturen.
Sonatypeforskare noterade 40 % av de sårbara nästan 112 000 Apache-servrarna som kör den sårbara versionen finns i USAmedan Rapid7 Labs citerade 65 000 maskiner sårbara för detta hack. Så det räcker inte med att uppdatera till v2.4.50, eftersom CISA påpekade att “”
Tillämpar de två senaste korrigeringarna är den enda lösningen för att mildra hacker, som säkerhetsbyråer och experter varnade.