Skip to content

Apache Traffic Server’dagi xavfsizlik muammolari va ularning salbiy ta’siri

Apache Software Foundation yaqinda o‘zining Apache Traffic Server (ATS) dasturiy ta’minotida aniqlangan bir nechta xavfli zaifliklar uchun muhim xavfsizlik yangilanishlarini chiqardi.

Bu zaifliklar hujumchilarga so‘rovlarni noto‘g‘ri shakllantirish orqali server tizimlarini manipulyatsiya qilish, autentifikatsiyani chetlab o‘tish va resurslarni boshqarish tizimini ishdan chiqarish imkonini beradi.

Zaifliklar ATS 9.0.0–9.2.8 va 10.0.0–10.0.3 versiyalariga ta’sir qiladi, va ulardan himoyalanish uchun 9.2.9 yoki 10.0.4 va undan yuqori versiyalarga zudlik bilan yangilanish tavsiya etiladi.

Apache Traffic Server’dagi muhim zaifliklar quyidagilarni o‘z ichiga oladi:

1. HTTP So‘rovlarni Smuggling Orqali Hujum (CVE-2024-38311)

Ushbu zaiflikni Ben Kallus aniqlagan bo‘lib, u HTTP/1.1 protokolida chunked transfer encoding ishlov berish jarayonidagi nomuvofiqliklardan foydalanish imkonini beradi.

Hujumchilar maxsus shakllangan so‘rovlarni ATS va orqa fon serverlari o‘rtasida turlicha talqin qilinishiga olib keluvchi manipulyatsiyalar bilan jo‘natishlari mumkin.

▶️ Hujum usuli:

  • Hujumchi Transfer-Encoding: chunked sarlavhasini Content-Length bilan birga noto‘g‘ri joylashtirib yuboradi.
  • ATS ushbu so‘rovni noto‘g‘ri tahlil qiladi va orqa fon serveriga smuggled (yashirin) HTTP so‘rovini yetkazib beradi.
  • Natijada, autentifikatsiya, xavfsizlik devorlari va boshqa himoya vositalari chetlab o‘tilishi mumkin.

📌 Ko‘proq xavf tug‘diradigan holatlar:

  • Cloud xizmatlarida web ilovalar ATS orqali serverga ulanadigan holatlar.
  • Foydalanuvchilar xavfsizlik devori yoki autentifikatsiya tizimlaridan chetlab o‘tib, yashirin buyruqlarni bajarishi mumkin.

2. Intercept Plugin orqali Avtorizatsiya chetlab o‘tish (CVE-2024-56195)

Masaori Koshiba tomonidan aniqlangan ushbu zaiflik ATS intercept plugin’larida avtorizatsiya jarayonlari to‘g‘ri amalga oshirilmaganligini ko‘rsatadi.

🔴 Nima bo‘ladi?

  • ATS intercept plugin’lar tarmoq trafigini o‘zgartirish yoki filtrlash uchun ishlatiladi.
  • Lakin, ushbu plaginlar to‘g‘ri tekshirishdan o‘tmagan foydalanuvchilar tomonidan chaqirilishi mumkin.
  • Bu caching strategiyalarini o‘zgartirish, zararli kontent joylashtirish yoki trafikni o‘g‘irlash imkonini beradi.

📌 Ko‘proq xavfli bo‘lgan holatlar:

  • Ko‘p foydalanuvchili (multi-tenant) infratuzilmalarda, ya’ni bir necha mijozga xizmat ko‘rsatuvchi ATS serverlarida, zaifliklardan foydalanib, foydalanuvchilar bir-birining ma’lumotlariga noqonuniy kirishi mumkin.

3. ACL Qoidalarining Buzilishi (CVE-2024-56196)

Chris McFarlen ushbu zaiflikni aniqlab, ATS 10.x versiyalarida ACL (Access Control List) qoidalari noto‘g‘ri ishlayotganini ko‘rsatdi.

🔴 Xavfli jihatlar:

  • ATS 9.x versiyasidan ATS 10.x versiyasiga yangilangan tizimlarda eski ACL qoidalari noto‘g‘ri talqin qilinishi mumkin.
  • Natijada, bloklangan IP-manzillar ochiq qolishi yoki ruxsat berilgan tarmoqlar to‘sib qo‘yilishi ehtimoli mavjud.

📌 Ko‘proq xavfli bo‘lgan holatlar:

  • ATS yangilangan, lekin ACL qoidalari eski holatda qoldirilgan bo‘lsa, xavfsizlik devori va tarmoq siyosati noto‘g‘ri ishlashi mumkin.
  • Hujumchilar to‘g‘ridan-to‘g‘ri ma’lumotlarni o‘g‘irlash yoki ATS’dan o‘tib, serverlarga hujum qilish imkoniyatiga ega bo‘lishlari mumkin.

4. «Expect» Header Orqali Resurslarni Ishtirok Etish (CVE-2024-56202)

David Carlin tomonidan aniqlangan ushbu zaiflik ATS serverining ulanishlarni noto‘g‘ri boshqarishiga olib keladi.

🔴 Hujum usuli:

  • Foydalanuvchi Expect: 100-continue sarlavhasini yuboradi, lekin yuborilishi kerak bo‘lgan asosiy so‘rovni hech qachon jo‘natmaydi.
  • ATS bu so‘rovni cheksiz vaqt davomida kutib turadi, natijada serverning barcha tarmoq resurslari tugab qoladi.

📌 Ko‘proq xavfli bo‘lgan holatlar:

  • DDoS (Distributed Denial of Service) hujumlarida ushbu zaiflikni ekspluatatsiya qilish orqali ATS serverlarini ishdan chiqarish mumkin.

Apache Software Foundation ushbu muammolarni bartaraf etish uchun 9.2.9 va 10.0.4 versiyalarida tuzatishlar chiqardi. Yangilanish orqali tizim quyidagi yo‘llar bilan himoyalanadi:

Chunked Encoding pipelining noto‘g‘ri ishlatilishini oldini olish
Intercept plugin’lar uchun autentifikatsiya va ACL tekshiruvlarini joriy etish
Eski va yangi ACL qoidalarining mosligi bilan bog‘liq muammolarni bartaraf etish
Expect: 100-continue sarlavhasi bilan bog‘liq ulanishlarni 30 soniya ichida yopish

Qo‘shimcha xavfsizlik choralarini ko‘rish:

🔹 HTTP pipelining’ni o‘chirishproxy.config.http.server_pipeline ni 0 ga o‘rnatish.
🔹 Intercept plugin’lar uchun qo‘shimcha IP-cheklovlar joriy qilishplugin.config faylida qo‘shimcha qoidalar qo‘shish.
🔹 Timeout parametrlarini oshirishproxy.config.http.wait_for_timeout ni 30000 millisekundga sozlash.
🔹 WAF (Web Application Firewall) qo‘llash → So‘rovlarni tahlil qilib, shubhali so‘rovlarni bloklash.

Apache Traffic Server’dagi ushbu zaifliklar shuni ko‘rsatadiki, HTTP protokoli bilan bog‘liq ekspluatatsiyalar hali ham dolzarb. NGINX va HAProxy’dagi shunga o‘xshash muammolar yaqinda aniqlangan edi va bu, HTTP stack’dagi umumiy zaifliklar mavjudligini tasdiqlaydi.

🛡 Korxonalar Apache Traffic Server’dan foydalanayotgan bo‘lsa, tizimlarini yangilashlari va qo‘shimcha xavfsizlik choralarini ko‘rishlari shart! Aks holda, hujumchilar ushbu zaifliklardan foydalanib, katta zarar yetkazishlari mumkin.