La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha incorporado la vulnerabilidad crítica CVE-2024-38475, que impacta al servidor HTTP Apache, a su listado de vulnerabilidades explotadas conocidas (KEV).
Esta vulnerabilidad faculta a los atacantes para direccionar URLs hacia ubicaciones no deseadas dentro del sistema de archivos, lo que podría resultar en la ejecución de código malicioso o la exposición del código fuente.
De acuerdo con la directiva operativa vinculante emitida por CISA, las organizaciones deben implementar las medidas de mitigación necesarias antes del 22 de mayo de 2025.
CVE-2024-38475 se debe a un escape inadecuado de la salida en el módulo mod_rewrite del servidor Apache HTTP que afecta a las versiones 2.4.59 y anteriores.
La vulnerabilidad, que recibió una puntuación CVSS de 9,1, permite a los atacantes asignar URL a ubicaciones del sistema de archivos que el servidor permite servir pero a las que no se puede acceder intencionalmente a través de ninguna URL. Esto puede resultar en la ejecución de código arbitrario o la divulgación del código fuente.
«La causa principal de esta vulnerabilidad se produce durante la fase de truncamiento, debido al hecho de que r->filename se trata como una ruta URL en lugar de una ruta del sistema de archivos», explican los investigadores de seguridad de Watchtowr Labs, que analizaron el exploit.
La vulnerabilidad afecta específicamente a «sustituciones en el contexto del servidor que utilizan referencias o variables como primer segmento de la sustitución».
La técnica de explotación aprovecha una vulnerabilidad de confusión de nombres de archivos que permite el abuso del símbolo del signo de interrogación (%3F) para truncar la ruta final construida.
Cuando se explotan con éxito, los atacantes pueden acceder a archivos confidenciales del sistema que normalmente estarían protegidos.
Detalles de la vulnerabilidad:
- Productos Afectados: Servidor HTTP Apache 2.4.59 y anteriores.
- Impacto: Ejecución de código o divulgación de código fuente a través de mod_rewrite.
- Requerimientos: No se requiere autenticación; El atacante puede enviar solicitudes diseñadas a través de la red. Requiere mod_rewrite habilitado.
- Puntuación CVSS 3.1: 9.1 (Crítica)
Recomendaciones y Mitigaciones
CISA recomienda a las organizaciones tomar medidas inmediatas:
- Actualice a Apache HTTP Server versión 2.4.60 o posterior, que contiene la solución para esta vulnerabilidad.
- Revise y modifique las RewriteRules afectadas para garantizar que las sustituciones estén restringidas adecuadamente si no es posible aplicar parches de inmediato.
- Para los usuarios de SonicWall SMA, parchee inmediatamente los dispositivos y revise los registros para detectar accesos no autorizados.
Las organizaciones que utilizan los dispositivos afectados deben implementar proyectos de microsegmentación y aislamiento de confianza cero para minimizar el posible movimiento lateral.
En la configuración de Apache, las reglas afectadas pueden usar el nuevo indicador de reescritura «UnsafePrefixStat» para volver a optar por el comportamiento anterior, pero solo después de garantizar que la sustitución esté restringida adecuadamente.
La CISA ha categorizado esta vulnerabilidad como un problema que afecta a «un componente de código abierto de uso generalizado, una biblioteca de terceros o un protocolo empleado por diversos productos», recomendando a las organizaciones que se pongan en contacto con sus proveedores específicos para obtener detalles sobre las actualizaciones de seguridad.
Dado que su explotación activa persiste en múltiples sectores, se insta a las organizaciones a priorizar la resolución de esta vulnerabilidad dentro de sus planes de remediación.
