O Apache é um aplicativo de servidores de código aberto, conhecido como Apache HTTP Server. Tem como principais funções estabelecer uma conexão entre o servidor e navegadores da web (como Google Chrome e Firefox), permitindo que donos de sites mostrem e mantenham seus conteúdos na internet, além de projetos envolvendo tecnologias de transmissão na web, processamento de dados e execução de aplicativos distribuídos.
O Brasil é um dos países que mais se utiliza dos serviços do Apache, mas isso também tem representado um grande risco para seus usuários. Um levantamento da ISH Tecnologia, referência nacional em cibersegurança, alerta para a presença de diversas vulnerabilidades críticas no programa, muitas das quais estão ativas em máquinas brasileiras, e podem ser utilizadas por cibercriminosos para a realização de crimes.
O relatório revela a existência de oito CVEs (da sigla em inglês Common Vulnerabilities and Exposures – Exposições e Vulnerabilidades Comuns) de nível crítico. Entre outras coisas, essas vulnerabilidades podem permitir aos criminosos que invadam remotamente a máquina afetada, executem códigos arbitrários e tenham acesso a dados potencialmente sigilosos armazenados. Estima-se que sejam cerca de 140 mil máquinas no nosso país que possuem os ativos das vulnerabilidades, e podem estar sujeitos a um ciberataque que se aproveite delas a qualquer momento.
Confira a lista das vulnerabilidades detectadas, além de uma breve descrição de suas causas e consequências:
CVE-2023-25690 – Algumas configurações de mod_proxy nas versões 2.4.0 e 2.4.55 do Apache HTTP Server permitem um ataque de HTTP Request Smuggling. Essa vulnerabilidade pode resultar no desvio dos controles de acesso no servidor proxy, onde no proxy de URLs não intencionais para os servidores de origem existentes e no envenenamento de cache.
CVE-2022-28615 – Apache HTTP Server 2.4.53 e anteriores podem travar ou divulgar informações devido a uma leitura além dos limites em “ap_strcmp_match()” quando fornecido com um buffer de entrada extremamente grande. Embora nenhum código distribuído com o servidor possa ser coagido a tal chamada, módulos de terceiros ou scripts lua que usam “ap_strcmp_match()” podem hipoteticamente ser afetados.
CVE-2022-31813 – Apache HTTP Server 2.4.53 e anteriores podem não enviar os cabeçalhos X-Forwarded-* para o servidor de origem com base no mecanismo hop-by-hop do cabeçalho de conexão do lado do cliente. Isso pode ser utilizado para ignorar a autenticação baseada em IP no servidor/aplicativo de origem;
CVE-2021-44790 – Um corpo de solicitação cuidadosamente elaborado pode causar um estouro de buffer no analisador multipart mod_lua (r:parsebody() chamado a partir de scripts Lua). A equipe Apache httpd não estaria ciente da exploração para a vulnerabilidade, embora seja possível criar uma. O referido problema afeta o Apache HTTP Server 2.4.51 e anteriores.
CVE-2021-26691 – Nas versões 2. 4.0 a 2.4.46 do Apache HTTP Server, um SessionHeader especialmente criado enviado por um servidor de origem pode causar um estouro de heap.
CVE-2021-40438 – A vulnerabilidade em uri-path de solicitação criado pode fazer com que o mod_proxy encaminhe a solicitação para um servidor de origem escolhido pelo usuário remoto. Esse problema afeta o Apache HTTP Server 2.4.48 e anterior.
CVE-2022-23943 – Esta vulnerabilidade ocasiona a gravação fora dos limites no mod_sed do Apache HTTP Server, permitindo que um invasor sobrescreva a memória heap com dados possivelmente fornecidos pelo invasor. Esta vulnerabilidade afeta o Apache HTTP Server 2.4 versão 2.4.52 e versões anteriores.
CVE-2022-22721 – Se o LimitXMLResquestBody for definido para permitir corpos de solicitação maiores que 350MB (o padrão 1M) em sistemas de 32 bits, ocorre um estouro de número inteiro que posteriormente causa gravações fora dos limites. Esta vulnerabilidade afeta o Apache HTTP Server 2.4.52 e anteriores.
Mitigação
A equipe da ISH lista uma série de medidas que devem ser adotadas por usuários dos produtos da Apache para evitar e mitigar o risco de um ataque cibernético:
- Atualizar softwares constantemente;
- Criar políticas formais para essas atualizações, definindo também intervalos específicos para novas verificações;
- Automatizar atualizações;
- Promover uma segmentação de rede, limitando a comunicação e impedindo que um potencial ataque consiga se espalhar;
- Usar ferramentas de escaneamento para monitorar constantemente vulnerabilidades;
- Avaliar os riscos associados a cada atualização, priorizando aquelas que corrigem vulnerabilidades graves;
- Fazer backups regulares de dados importantes e sistemas críticos;
- Testar atualizações antes da aplicação para identificar possíveis problemas ou incompatibilidades;
- Usar ferramentas de gerenciamento de patches;
- Implementar soluções de monitoramento contínuo para detectar atividades suspeitas e/ou anomalias;
- Treinar e conscientizar colaboradores sobre os riscos de ataques cibernéticos;
- Restringir o acesso a sistemas críticos e informações sensíveis apenas a usuários autorizados;
- Ter um plano de resposta a incidentes pronto para lidar com problemas e tentativas de ataque
- Realizar regularmente auditorias para garantir que todas as medidas de segurança estejam sendo eficazes.
