• Tweet

Un exploit liberado en la lista de correo Full Security permite a potenciales atacantes ejecutar fácilmente un ataque remoto de negación de servicio en contra de servidores web Apache.

A diferencia de los ataques de denegación de servicio distribuido (DDoS) que se basan en un número de peticiones para sobrecargar los servidores, este ataque explota una vulnerabilidad para lograr lo mismo desde un simple equipo remoto.

Aún peor, en algunos casos las máquinas necesitan ser reiniciadas para que los servidores puedan ser recuperados del ataque, esto posiblemente afectaría a otros servicios también.

El exploit está codificado en Perl y es conocido como "Apache Killer". No hay un parche oficial hasta el momento, pero algunos sitios han hecho algunas propuestas.

Uno de ellos requiere mod_rewrite e involucra restringir las cabeceras GET y HEAD para solamente un rango sencillo de peticiones. Esto no debería afectar negativamente a la mayoría de las aplicaciones.

SetEnvIf o mod_rewrite pueden también usarse para detectar un gran número de rangos e ignorar la cabecera Range, o rechazar por completo la petición.

Otra opción es limitar el campo de la petición a algunos cientos de bytes, aunque esto podría detener algunas cabeceras que requieran cadenas largas como aquellas que llevan cookies o tokens de seguridad.

El módulo mod_headers puede ser utilizado para deshabilitar el uso de la cabecera Range por completo, pero no es aplicable en todas las situaciones. Desplegar un módulo personalizado que cuente con la cabecera Range, también es una solución.

"Los usuarios de Apache HTTPD que estén preocupados por un ataque DoS en contra de sus servidores deberían considerar inmediatamente la implementación de cualquiera de las medidas de mitigación", notificaron los desarrolladores de Apache, prometiendo liberar un parche en un plazo de 48 horas.

Una particularidad del exploit "Apache Killer" es que verifica la presencia de mod_deflate, terminando si no es encontrada. Sin embargo, investigadores han descubierto que esto es una singularidad en este script de ataque único, la vulnerabilidad está siendo explotada aún si mod_deflate no está presente.