漏洞公告
近日,安恒信息 CERT 监测到 Apache 官方发布安全公告,修复了一处 Apache HTTP Server 的 HTTP 请求走私漏洞,该漏洞允许攻击者将请求走私到AJP 服务器。目前官方已发布最新安全版本,建议使用该组件的用户尽快采取安全措施。
参考链接:https://httpd.apache.org/security/vulnerabilities_24.html
一
影响范围
受影响版本:
Apache HTTP Server < 2.4.54
通过安恒SUMAP平台对全球部署的Apache HTTP Server进行统计,最新查询分布情况如下:
全球分布:
国内分布:
二
漏洞描述
Apache HTTP Server 的 mod_proxy_ajp 模块与 tomcat ajp 解析模块存在差异,当用户配置了 mod_proxy_ajp 模块与后端 tomcat 服务器通信时,攻击者能够在正常的 HTTP 请求中走私一条自定义 HTTP 请求到后端 tomcat。攻击者可利用该漏洞实现对 tomcat AJP 端口的访问,比如自定义 attributes 属性值来攻击存在幽灵猫漏洞但 AJP 协议端口未对外开放的 tomcat 服务器。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 否 |
存在 | 存在 | 未知 |
三
缓解措施
高危:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署相关产品的用户及时测试并升级到漏洞修复的版本。
官方建议:
1、升级 Apache HTTP Server,该漏洞已在 Apache HTTP Server 2.4.54 中修复
四
产品防护方案
目前安恒信息防护类产品均已经集成漏洞防护能力,可通过前往“安恒社区”下载对应产品的策略升级包进行升级。
AiLPHA大数据平台&AXDR平台
AiLPHA大数据平台&AXDR平台的流量探针(AiNTA)在第一时间加入了对该漏洞的检测规则,请将规则包升级到1.1.688版本(AiNTA-v1.2.3_release_ruletag_1.1.688)及以上版本。
规则名称:Apache HTTP Server请求走私漏洞(CVE-2022-26377)
规则编号:93009539
AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。请从AiLPHA安全中心下载规则包。
AiLPHA安全中心地址:
https://ailpha.dbappsecurity.com.cn/index.html#/login
如果没有账号,请从页面注册账号。
明御APT攻击预警平台
APT攻击预警平台已经在第一时间加入了对该漏洞的检测,请将规则包升级到GoldenEyeIPv6_0F342_strategy2.0.25997及以上版本。
规则名称:Apache HTTP Server请求走私漏洞(CVE-2022-26377)
规则编号:93009539
明御Web应用防火墙
明御Web应用防火墙已经在第一时间加入了对该漏洞的检测,请将规则包升级到2022061001及以上版本。
平台规则升级方法:策略->规则升级,选择“本地上传”或“在线更新”。
WAF规则升级包请到安恒社区下载:https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc94fe8c885b76dd8d8657?type1=5de8b762a05eab5fe16bc330
玄武盾websaas
玄武盾websaas目前已经集成了Apache HTTP Server请求走私漏洞(CVE-2022-26377)的扫描和防护能力。
安恒信息CERT
2022年6月
原文始发于微信公众号(安恒信息CERT):Apache HTTP Server 请求走私漏洞(CVE-2022-26377)风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论