De kwetsbaarheid zit in de versies 1.3 en alle 2.x van de Apache http server, maar kan alleen worden gebruikt in bepaalde omstandigheden. De server moet draaien onder de “reverse proxy mode" en geconfigureerd zijn met gebruik van de RewriteRule of ProxyPassMatch. Daardoor kunnen interne servers toegankelijk komen voor externe gebruikers die bepaalde request versturen. Met een “makkelijk te verkrijgen" hack tool zouden die gemanipuleerde requests kunnen worden verstuurd, zeggen de onderzoekers.

Dreiging groot genoeg

Ondanks de specifieke omstandigheden waarin de kwetsbaarheid boven komt drijven, is de dreiging voor Apache.org groot genoeg om een waarschuwing te doen uitgaan. De kwetsbaarheid wordt in de komende releases van de Apache HTTP Server dichtgetimmerd, schrijft Apache.org. Apache-gebruikers worden in die verklaring tevens geadviseerd de configuratiefiles te checken of zij de onveilige configuratie voor reverse proxying hebben gebruikt. Via Apache.org is een patch beschikbaar.

De onderzoekers die de kwetsbaarheid hebben ontdekt schrijven in hun blog dat een aanval toegang kan bieden tot de zogeheten demilitarized zone, de DMZ. Binnen die afgeschermde zone staan de bronnen die admins toegang kunnen bieden tot firewalls, routers, databases en webservers. “Context heeft veel succes met deze aanval op interne systemen waarin de toegangsrechten nogal zwak zijn geformuleerd, waardoor we het gehele netwerk konden compromitteren door bijvoorbeeld Trojan WAR files te uploaden op de JBoss servers."

Request manipuleren

Reverse proxies worden door bedrijven gebruikt om externe requests te leiden naar een van de meerdere interne webservers. Dat heeft onder meer voordelen voor load balancing en het scheiden van statische content van dynamische content. Door de externe request op een bepaalde manier te manipuleren wordt de proxy misleid en komt de gebruiker terecht bij de interne/DMZ-systemen. Volgens de onderzoekers negeert de interne server vervolgens de gebruikersnaam en wachtwoord-protocollen en is er toegang tot alle admin-interfaces van de systemen in de DMZ. De technische achtergronden worden nader beschreven in de eerder genoemde blogpost.

In een persbericht van Context wordt tevens gewaarschuwd dat mogelijk niet alleen Apache maar ook andere proxyservers deze kwetsbaarheid kunnen bevatten. De onderzoekers hebben zich alleen op Apache gericht, dus daarvan worden geen voorbeelden gegeven.