image

CGI-webservers kwetsbaar voor aanval via Proxy-header

maandag 18 juli 2016, 16:50 door Redactie, 3 reacties
Laatst bijgewerkt: 18-07-2016, 21:09

Beheerders van CGI-webservers zijn gewaarschuwd voor een beveiligingslek waardoor de systemen kwetsbaar zijn voor aanvallen via de Proxy-header. Door het versturen van een speciaal geprepareerd verzoek naar een kwetsbare server kan een aanvaller man-in-the-middle-aanvallen op interne server-verzoeken uitvoeren of de server verbindingen naar willekeurige hosts op laten zetten.

Het probleem speelt bij webapplicaties die in CGI of CGI-achtige omgevingen draaien en vindt zijn oorzaak in een conflict met de naamgeving. De HTTP Proxy-header van een verzoek wordt binnen de omgevingsvariabelen als HTTP_PROXY aangegeven. HTTP_PROXY is echter ook een populaire omgevingsvariabele die wordt gebruik voor het configureren van een uitgaande proxy. Een aanvaller kan door de kwetsbaarheid mogelijk zijn eigen proxy opgeven voor de applicatie die via CGI wordt uitgevoerd.

Volgens de ontdekkers van het probleem lopen alleen server-side webapplicaties risico. Als een kwetsbare http-client een uitgaande http-verbinding opzet, terwijl die als een server-side CGI-applicatie draait, kan een aanvaller de http-verzoeken van de webapplicatie naar zijn eigen server omleiden. Ook kan hij de server uitgaande verbindingen naar een adres en poort van zijn keuze laten doorsturen. Als laatste kan hij een denial of service veroorzaken door de kwetsbare software met de kwaadaardige proxy verbinding te laten, wat de server extra kan belasten.

Beheerders die PHP of CGI draaien krijgen dan ook het advies om de Proxy-header te blokkeren of te filteren of de betreffende beveiligingsupdate te installeren wanneer die beschikbaar is. Volgens het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit kunnen onder andere webapplicaties die op Apache, HAProxy, HHVM, Microsoft IIS, nginx, Python en PHP draaien kwetsbaar zijn. Verschillende van deze leveranciers hebben inmiddels instructies gegeven om de header te filteren. Meer informatie over de kwetsbaarheid is te vinden op httpoxy.org, zoals het beveiligingslek wordt genoemd.

Reacties (3)
18-07-2016, 19:54 door Anoniem
Heeft de redactie het stuk niet gelezen?

In het stuk word nergens gezegd dat Apache, HAProxy en nginx kwetsbaar zijn. Er worden voorbeelden gegeven hoe je met deze software kan zorgen dat de header niet in je web applicatie terecht komt.
18-07-2016, 19:59 door [Account Verwijderd]
[Verwijderd]
19-07-2016, 11:27 door Anoniem
Het gestelde is niet juist. De populaire omgevingsvariabele voor het instellen van een proxy heet http_proxy, geen
HTTP_PROXY. Dat is niet hetzelfde, behalve wellicht onder Windows. Daar is deze programmeertechniek echter
niet populair.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.