Due nuove vulnerabilità significative stanno mettendo a rischio i server basati su Unix/Linux per i servizi CUPS e Apache HTTP Server, richiedendo attenzione immediata da parte degli amministratori di sistema. Queste minacce includono una vulnerabilità di esecuzione di codice remoto (RCE) legata al sistema di stampa CUPS e falle di sicurezza che permettono attacchi di HTTP Request Smuggling e bypass dell’autenticazione SSL su Apache.
Scanner per CUPS e la vulnerabilità CVE-2024-47176
Un nuovo scanner automatizzato è stato rilasciato per identificare server Linux/Unix vulnerabili alla falla CVE-2024-47176 nel sistema di stampa CUPS. Questa vulnerabilità consente attacchi di esecuzione di codice remoto e può essere sfruttata per amplificare attacchi DDoS fino a 600 volte. Il problema risiede nel fatto che il servizio cups-browsed espone la porta UDP 631 a richieste non autenticati, aprendo la possibilità di eseguire comandi remoti.
Lo scanner, sviluppato dal ricercatore di sicurezza Marcus Hutchins, consente di identificare rapidamente i server vulnerabili inviando pacchetti UDP personalizzati alla rete e registrando le risposte dai dispositivi compromessi. Gli amministratori possono quindi agire tempestivamente per applicare le patch o modificare le configurazioni di sicurezza per mitigare i rischi.
Vulnerabilità su Apache HTTP Server: CVE-2024-40725 e CVE-2024-40898
Nel frattempo, Apache HTTP Server presenta due gravi vulnerabilità, CVE-2024-40725 e CVE-2024-40898, che mettono a rischio oltre 7,6 milioni di installazioni in tutto il mondo. Queste falle, presenti nelle versioni 2.4.0 fino alla 2.4.61, possono essere sfruttate per:
- HTTP Request Smuggling: Questa tecnica consente agli attaccanti di inviare richieste HTTP manipolate, che vengono interpretate in modo errato dal server, bypassando così i controlli di sicurezza. Il problema si manifesta quando la direttiva ProxyPass è configurata in modo non sicuro.
- Bypass dell’autenticazione SSL: La falla CVE-2024-40898 sfrutta una verifica impropria dei certificati client nel modulo mod_ssl. Un’errata configurazione del parametro SSLVerifyClient può permettere agli attaccanti di accedere ai sistemi senza certificati validi, compromettendo la sicurezza.
Le Proof of Concept (PoC) degli exploit per queste vulnerabilità sono già disponibili, rendendo urgente l’applicazione delle patch. Gli esperti raccomandano di aggiornare Apache alla versione 2.4.62 o successiva e di rivedere attentamente le configurazioni dei moduli mod_proxy e mod_ssl per evitare configurazioni vulnerabili.
Misure di sicurezza e mitigazioni
Per proteggersi da queste minacce:
- Applicare le patch: Installare le ultime versioni di Apache HTTP Server e aggiornare i server CUPS.
- Revisione delle configurazioni: Verificare che le direttive ProxyPass e le impostazioni SSL siano configurate in modo sicuro.
- Firewall e scansioni di sicurezza: Utilizzare un Web Application Firewall (WAF) per filtrare il traffico HTTP/SSL malevolo e condurre scansioni regolari per identificare nuove vulnerabilità.
Le vulnerabilità nei server CUPS e Apache rappresentano una minaccia significativa per i settori che gestiscono dati sensibili, come finanza, sanità e tecnologia. La rapida risposta delle aziende sarà determinante per evitare accessi non autorizzati e proteggere le informazioni critiche.