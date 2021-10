Schon seit ein paar Tagen haben es Angreifer weltweit auf verwundbare Webserver auf Apache-Basis abgesehen. Zwar erschien zügig ein Sicherheitspatch, wie Sicherheitsforscher aber herausfanden, sind aktualisierte Server immer noch angreifbar.

Jetzt auch Remote Code Execution möglich

Setzen Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-41773) an, könnten sie unter Umständen mittels spezieller URLs auf Dateien außerhalb des Document-Root-Verzeichnisses zugreifen. Einer aktualisierten Warnmeldung von Apache zufolge ist aber üblicherweise der Schutzmechanismus "require all denied" aktiv, der vor solchen Angriffen schützt.

In der Meldung warnen sie aber auch, dass sogar Schadcode auf Systeme gelangen kann. Wie Angreifer den "unzureichenden" Patch umgehen können, geht aus dem Text nicht hervor. Für die erweiterte Attacke wurde die Kennung CVE-2021-42013 vergeben. Eine Einstufung des Bedrohungsgrads für beide Lücken steht derzeit noch aus. Da Angreifer aus der Ferne Schadcode ausführen könnten, ist aber mindestens von einer hohen Einstufung auszugehen.

Jetzt patchen!

Von beiden Lücken sind ausschließlich die beiden Versionen 2.4.49 und 2.4.50 betroffen. Die aktuelle Ausgabe 2.4.51 soll dagegen abgesichert sein. Das Computer Emergency Response Team (CERT) der US-Regierung warnt vor Attacken und rät Admins dazu, Apache Webserver umgehend zu patchen.

Einer aktuellen Statistik von Netcraft zufolge kommt Apache weltweit auf rund 25 Prozent aller Webserver zum Einsatz. Eine Shodan-Suche zeigt, dass über den Globus verteilt immer noch rund 100.000 – davon mehr als 10.000 in Deutschland - Apache Webserver mit 2.4.49 zum Einsatz kommen. Apache 2.4.50 ist weltweit auf rund 12.000 Webservern installiert - knapp 900 davon in Deutschland.

(des)