Açık kaynaklı web sunucusu yazılımı Apache HTTP Server üzerinde geçtiğimiz günlerde keşfedilen sıfırıncı gün zafiyetinin ilk incelemelerde farkedilenden daha kritik olduğu ortaya çıktı. Sunucunun Türkiye’den de çok sayıda kullanıcısı var.
CVE-2021-41773 kodlu sıfırıncı gün güvenlik açığıyla ilgili yayımlanan yeni PoC, zafiyetin saldırganların uzaktan kod yürütmesine (RCE) olanak tanıdığını ortaya koydu. Daha önce önemli olarak belirtilen zafiyetin kritiklik seviyesi böylece yükselmiş oldu.
İlk bilgilere göre zafiyet saldırganların URL’leri beklenen dizinlerin dışındaki dosyalara eşleştirmesine izin veriyordu. Güvenlik açığı ayrıca CGI (Common Gateway Interface) gibi iletişim protokollerinin sızdırılmasına da olanak tanıyordu.
ZAFİYET, SALDIRGANLAR UZAKTAN MÜDAHALESİNE YOL AÇIYOR
Güvenlik açığına ilişkin güvenlik araştırmacılarının Windows işletim sisteminde gerçekleştirdiği PoC çalışmalarında ise, zafiyetin aynı zamanda sunucularda RCE işlemine de imkan verdiği tespit edildi.
Ancak araştırmacılar, RCE işleminin zafiyetten bütün 2.4.49 sürümlü yazılımların etkilenmediğini belirtti. Saldırganlar, sunucuda “mod-cgi” opsiyonunun etkinleştirilmesi ve yapılandırmada varsayılan “Tümünün reddedilmesini iste” (Require all denied) seçeneğinin eksik olması durumunda uzaktan kod yürütebiliyor.
Apache, sektördeki yüzde 25’lik pazar payıyla en çok tercih edilen web sunucularından biri olarak biliniyor.
Zafiyete ilişkin firma tarafından paylaşılan güvenlik notunda, savunmasız olan 2.4.49 sürümlü Apache HTTP sunucusu yazılımının 2.4.50 versiyonuna güncellenmesi tavsiye edilmişti.
Shodan arama motoru üzerinde yapılan incelemede ürünün Türkiye’de 1609 kullanıcısı ortaya çıkmıştı. Yazılımın en çok kullanıldığı ülkeler arasında ABD, Almanya, Kanada, Fransa ve İngiltere bulunuyor.
