Une faille critique affecte des milliers de serveurs Apache

Les serveurs web Apache sont vulnérables à une faille critique, dite path traversal attack. Déjà exploitée, CVE-2021-41773 affecte la version 2.4.49 d’Apache HTTP Server.

La fondation Apache a-t-elle sous-estimé la gravité d’une faille, et tardé en conséquence à la colmater ? C’est la question qui se pose aujourd’hui dans la communauté. En effet, une vulnérabilité critique menace des milliers de serveurs HTTP Apache. Baptisée CVE-2021-41773, elle affecte la version 2.4.49 d’Apache HTTP Server.

Dite path traversal attack, cette vulnérabilité permet à un attaquant de mapper des URLs pour atteindre, à grands coups de requêtes vers des répertoires, des fichiers en dehors de la racine. Si ces fichiers ne sont pas protégés par la fonction « require all denied », pourtant désactivée par défaut, ces requêtes peuvent aboutir. En outre, les attaquants sont en mesure d’obtenir par ce biais la source de fichiers interprétés comme des scripts CGI.

La faille est non seulement critique, mais elle a en plus été exploitée avant que des chercheurs ne la découvrent. Et, depuis que son existence a été rendue publique, des exploits ont été publiés. Or une simple recherche permet d’observer que plus de 100 000 serveurs Apache, version 2.4.49, sont exposés en ligne.