Cisco-produkter påverkas av sårbarhet i Apache

Sårbarhet Cisco Apache

Cisco rapporterar att flera av deras produkter kan vara påverkade av en sårbarhet i Apache HTTP Server, som utnyttjas aktivt. Det är inte ännu känt exakt vilka produkter som berörs.[1]

Sårbarheten (CVE-2021-40438, CVSS-klassning 9.0) återfinns i “mod proxy”-komponenten och gör det möjligt för en angripare att göra en ‘server-side request forgery’ (SSRF). Det är en begäran med en modifierad url-sökväg som gör att servern kan omdirigera kommandon till en godtycklig plats och därmed få åtkomst till interna resurser som ligger bakom brandvägg eller liknande.[2]

Proof-of-koncept-kod för sårbarheten publicerades i oktober [3] men det är först nu som sårbarheten utnyttjas aktivt [4].

Påverkade produkter

Apache (version 2.4.48 och tidigare)Det finns ännu ingen information om vilka Cisco-produkter som berörs.

Rekommendationer

CERT-SE rekommenderar att hålla koll på Ciscos råd och uppdaterar sårbara produkter när mer information publiceras. Tills dess är det bra att se till att säkra gränssnitt samt att begränsa möjligheten för sårbara system att kommunicera med interna resurser. Vidare går det att söka i förfrågningsloggen efter strängen ‘unix:’ följt av tecknet (‘|’) för att identifiera en attack.[4]

Källor

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-httpd-2.4.49-VWL69sWQ

[2] https://access.redhat.com/security/cve/cve-2021-40438

[3] https://www.cert.se/2021/10/sarbarhet-i-apache-utnyttjas-aktivt

[4] https://firzen.de/building-a-poc-for-cve-2021-40438