Patch Apache DoS-gat deels oplossing

Gisteren heeft de Apache Software Foundation een patch vrijgegeven voor de 4 jaar oude denial of service-bug in Apache. Volgens een reactie op Webwereld heeft de Foundation daarover getwijfeld. Maar waarom eigenlijk? En waar moeten we op letten?

Twee problemen
Volgens Frans ter Borg, eigenaar van Quanza Engineering, is het belangrijk om te realiseren dat er in deze context op dit moment eigenlijk twee problemen zijn. “Het eerste is een probleem dat 4 jaar geleden is geïdentificeerd als een flaw in de implementaties van Apache en IIS door een vrije interpretatie van de byte-range functies in RFC2616. Het tweede is een probleem in de Apache webserver waardoor sommige veel voorkomende taken op een zeer inefficiënte manier intern kunnen ‘exploderen’ in honderden interne requests wanneer grote byte ranges worden opgevraagd.”

“De melding uit 2007 beschreef een scenario dat in de praktijk onhaalbaar leek om uit te buiten,” vertelt Arjan de Jong, marketing manager bij Jitscale. “Destijds is er dus niet direct actie op ondernomen en is het niet echt een bekend issue geworden. Wij waren er daarom ook niet mee bekend.”

De reden dat de 4 jaar geleden geïdentificeerde flaw nog niet was verholpen, is volgens ter Borg dat het door de Apache ontwikkelaars werd afgedaan als iets dat alleen op een heel erg slecht geconfigureerde webserver tot grote complicaties kon leiden. “Pas nu het tweede probleem aan het licht is gekomen, konden opeens ook ‘goed’ geconfigureerde webservers relatief eenvoudig onderuit worden gehaald.”

“De tool die nu is verschenen, gebruikt wel het idee uit de melding van Michael Zalinski uit 2007, maar past die op een andere manier toe,” legt de Jong uit. “De nieuwe exploit (een script genaamd killapache.pl) zorgt er voor dat Apache dezelfde content met een simpel verzoek heel vaak in het geheugen plaatst en daarop ook gzip-compressie toepast. Als je dat met voldoende verbindingen tegelijk doet, is het betrekkelijk eenvoudig om de service down te brengen.”

“Voor het tweede probleem is er nu een nieuwe release van de Apache webserver beschikbaar gemaakt,” geeft ter Borg aan. “Maar het eerste probleem bestaat in principe nog steeds, maar kan nu het tweede probleem is opgelost, minder gauw tot grote schade leiden.”

Twijfel bij Apache
Ter Borg vertelt dat Apache lijkt te hebben getwijfeld over het uitbrengen van deze fix, omdat de kern van het eerste probleem nog niet is verholpen. “Daarvoor zijn aanpassingen in de RFC nodig. Daarnaast is er twijfel omdat er ook mitigating maatregelen te nemen waren die zorgden dat beide problemen niet misbruikt kon worden.”

“Wat daar in dit geval nogal lastig aan is, is dat er eigenlijk geen patch te verzinnen is die er niet voor zorgt dat Apache niet meer compliant is met de HTTP 1.1 standaard,” weet de Jong. “Dat levert nogal wat discussie op in een community als die van Apache. De reden dat Microsoft IIS bijvoorbeeld niet kwetsbaar is, is omdat vanaf IIS 6 er maar 5 ranges in een Range:-header worden geaccepteerd. Niet volgens de standaard, maar praktisch zorgt het in Microsoft’s geval niet voor problemen.”

“Op termijn zal er uit de discussie in de IETF een iets aangescherpte RFC rollen,” zegt ter Borg. “Die zal na acceptatie langzaam z’n weg vinden in server en client producten. Daarmee zal het eerste probleem op termijn dus ook langzaam uitsterven.”

Tref maatregelen
Om de acute risico’s te voorkomen dienen ISPs en partijen die hun eigen webservers beheren volgens ter Borg onmiddellijk actie te ondernemen en één van de onderstaande oplossingen te implementeren:

  • Mitigation maatregelen treffen, zoals beschreven op: http://seclists.org/fulldisclosure/2011/Aug/301 – Mitigation
  • Upgrade naar de versie van Apache waarin het probleem is verholpen
  • Webservers afschermen van het internet met een degelijke Web Application Firewall (WAF), die de inhoud HTTP requests inspecteert en malafide requests niet doorzet naar de webservers

“Als één van deze maatregelen niet wordt geïmplementeerd dan lopen de klanten van ISP’s acute risico’s op het platgaan van hun website,” aldus ter Borg. “De exploit is zo makkelijk te gebruiken dat scriptkiddies deze lukraak kunnen af vuren op iedere webserver die nog gevoelig is voor het probleem en daarmee binnen minuten een server offline kunnen krijgen, zonder daarbij gebruik te hoeven maken van botnets.”

De Jong geeft aan dat ISP’s zoals altijd alert moeten blijven op dit soort security-gerelateerd nieuws. “In dit geval zullen de meeste ISP’s de impact voelen en zullen er maatregelen moeten worden getroffen zoals de gepubliceerde workarounds en later de gepatchte Apache-versie uitrollen.”

Risico’s beperken
“ISPs moeten proberen vooraf al zoveel mogelijk risico’s te beperken door technische hindernissen op te werpen en dienen snel in te kunnen ingrijpen als er verhoogde risico’s worden gepubliceerd,” vertelt ter Borg. “ISPs of partijen die vanwege interne procedures of applicatieve redenen niet direct nieuwe software kunnen uitrollen of configuraties kunnen aanpassen, moeten overwegen om WAFs te implementeren, die op basis van updates vanuit de fabrikanten ook om kunnen gaan met deze risico’s.”

Blijf alert
“Uiteindelijk is het een securityprobleem zoals dat zo vaak ontdekt wordt, de impact is alleen erg groot omdat het om Apache gaat,” geeft de Jong aan. “Blijf alert, wacht niet op de patch maar ga direct aan de slag met de beschikbare workarounds.”

Niets doen geen optie
Naast het beperken van de risico’s van DoS attacks en andere vormen van security exploits, zijn volgens ter Borg ook Distributed DoS (DDoS) een punt van aandacht bij het proactief implementeren van securitymaatregelen. Ter Borg vertelt nog te vaak te worden geconfronteerd met kleine en grote omgevingen die down gaan. “Dit komt door aanvallen die worden gelanceerd vanuit botnets, waarbij er vele duizenden aanvallers een enkel doelwit overstelpen met requests of dataverkeer. Voor het tegengaan van DDoS aanvallen zijn zoals iedereen binnen de community weet diverse oplossing denkbaar, zoals het gebruiken van diensten van externe DDoS cleaning centers, of het plaatsen van specialistische anti-DDoS apparatuur in het eigen netwerk. ISP’s die geen actief beleid hebben op het gebied van security zullen uiteindelijk de strijd verliezen van serieuzere collega’s. Niets doen is dus geen optie.”

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.