De Apache HTTP Server – de meest gebruikte Web-server van het internet – heeft een ernstige kwetsbaarheid gedicht, waarmee het voor niet-vertrouwde gebruikers of software mogelijk was om onbeperkte controle te krijgen over de machine waar de software op draait. 

De kwetsbaarheid, genaamd CVE-2019-0211, is een local privilege escalation, wat betekent dat het een persoon of software die al gelimiteerde toegang tot de Web-server heeft toestaat om die toegang te vergroten naar root-toegang, schrijft Ars Technica. Vanuit daar kan een aanvaller vrijwel alles doen.

De kwetsbaarheid maakt het mogelijk om script zonder privileges om gevoelige delen van het geheugen van de server te overschrijven. Een malafide script zou de kwetsbaarheid kunnen misbruiken om root-toegang te krijgen.

Shared instances

Het meeste risico van de kwetsbaarheid zit in Web-hosting facilities die shared instances aanbieden. Daarbij bevat een enkele fysieke machine content voor meer dan één website. Dergelijke servers voorkomen normaal gesproken dat een administrator van één site toegang heeft tot de andere sites of dat diegene toegang krijgt tot de gevoelige instellingen van de machine zelf.

Maar als één van de gebruiker succesvol misbruik weet te maken van de kwetsbaarheid, dan krijgt diegene volledige toegang tot de server. Dat betekent dat diegene de mogelijkheid heeft om ieder bestand en iedere database van andere clients in te zien, te schrijven en te verwijderen.

Een ander waarschijnlijk scenario voor misbruik is wanneer een cybercrimineel een andere aanval gebruikt, die alleen gelimiteerde privileges geeft op een server die Apache draait. Als die server kwetsbaar is voor CVE-2019-0211, dan kan de aanvaller de fout misbruiken om die gelimiteerde privileges te vergroten naar root-privileges.

Kwetsbare systemen

De kwetsbaarheid heeft alleen impact op Apache versies tussen 2.4.17 en 2.4.38 als er UNIX-achtige systemen gedraaid worden. Beveiligingsbedrijf Rapid7 schat dat 2 miljoen systemen kwetsbaar zijn voor CVE-2019-0211, al hebben de meeste inmiddels al een update uitgevoerd.

Mensen die Apache gebruiken – zeker klanten van hosts die shared instances aanbieden – worden aangeraden om te controleren dat ze versie 2.4.39 draaien.