Перейти к содержимому

Проблемы безопасности в Apache Traffic Server и их негативное влияние

Фонд Apache Software Foundation недавно выпустил важные обновления безопасности для устранения нескольких критических уязвимостей в программном обеспечении Apache Traffic Server (ATS).

Эти уязвимости позволяют злоумышленникам манипулировать серверными системами, формируя неправильно структурированные запросы, обходить аутентификацию и нарушать управление ресурсами.

Уязвимости затрагивают версии ATS 9.0.0–9.2.8 и 10.0.0–10.0.3. Для защиты от них настоятельно рекомендуется немедленное обновление до версии 9.2.9 или 10.0.4 и выше.

Ключевые уязвимости Apache Traffic Server включают:

1. Атака с использованием HTTP-запросов (CVE-2024-38311)

Эту уязвимость обнаружил Бен Каллус. Она позволяет эксплуатировать несоответствия в обработке chunked transfer encoding (разбивка данных на чанки) в протоколе HTTP/1.1.

Злоумышленники могут отправлять специально сформированные запросы, которые ATS и серверы backend-инфраструктуры интерпретируют по-разному.

Как работает атака?
Хакер добавляет заголовок Transfer-Encoding: chunked вместе с Content-Length, неправильно размещая их в HTTP-запросе.

ATS неправильно анализирует запрос и передаёт backend-серверу скрытые (smuggled) HTTP-запросы.

В результате можно обойти механизмы аутентификации, веб-фильтры и другие системы безопасности.

📌 Особо опасные случаи:

  • Облачные сервисы, где веб-приложения взаимодействуют с ATS.
  • Злоумышленники могут обходить межсетевые экраны и аутентификацию, выполняя скрытые команды.

2. Обход авторизации через Intercept Plugin (CVE-2024-56195)

Эту уязвимость обнаружил Масаори Кошиба. Она показывает, что плагины ATS Intercept не проходят корректную проверку авторизации.

🔴 Опасность:

  • ATS Intercept Plugins используются для фильтрации и модификации трафика.
  • Однако они могут быть вызваны пользователями, не прошедшими проверку, что позволяет изменять кэш-политику или внедрять вредоносный контент.

📌 Наибольший риск:

  • В многоарендных (multi-tenant) системах, где один сервер ATS обслуживает несколько клиентов, уязвимость может привести к утечке данных между пользователями.

3. Нарушение работы ACL-правил (CVE-2024-56196)

Крис Макфарлен обнаружил, что в версии ATS 10.x список контроля доступа (ACL – Access Control List) работает некорректно.

🔴 Опасность:

  • При обновлении с ATS 9.x на 10.x старые ACL-правила могут быть неверно интерпретированы.
  • В результате могут остаться открытыми заблокированные ранее IP-адреса, или, наоборот, блокироваться разрешённые соединения.

📌 Критически важные моменты:

  • Если после обновления ACL не адаптированы под новую версию, это может привести к сбоям в политике сетевой безопасности.
  • Злоумышленники могут обойти защиту и напрямую атаковать серверы.

4. Истощение ресурсов через заголовок «Expect» (CVE-2024-56202)

Дэвид Карлин обнаружил, что ATS неправильно управляет соединениями, если клиент отправляет заголовок Expect: 100-continue, но не передаёт тело запроса.

🔴 Как работает атака?

  • Хакер отправляет Expect: 100-continue, но никогда не завершает передачу данных.
  • ATS в стандартных настройках продолжает ожидать эти данные бесконечно, что приводит к истощению ресурсов сервера.

📌 Опасные случаи:

  • В DDoS-атаках можно использовать эту уязвимость, чтобы вывести сервер ATS из строя, перегружая его полуоткрытыми соединениями.

Apache Software Foundation исправила данные уязвимости в версиях 9.2.9 и 10.0.4. Эти обновления:

✅ Блокируют некорректную обработку chunked encoding.
✅ Вводят строгую аутентификацию и ACL-проверку для Intercept Plugin.
✅ Исправляют ошибки интерпретации ACL-правил.
✅ Добавляют 30-секундный тайм-аут для заголовка Expect: 100-continue.

Дополнительные меры безопасности:

🔹 Отключите HTTP-pipelining – установите proxy.config.http.server_pipeline в 0.
🔹 Добавьте IP-ограничения для плагинов – настройте правила в plugin.config.
🔹 Увеличьте таймаут соединенийproxy.config.http.wait_for_timeout установите на 30000 миллисекунд.
🔹 Используйте WAF (Web Application Firewall) – он поможет выявлять и блокировать аномальные HTTP-запросы.

Эти уязвимости показывают, что атаки, связанные с обработкой HTTP-запросов, всё ещё остаются актуальными. Недавние аналогичные проблемы были выявлены в NGINX и HAProxy, что указывает на общие слабые места в HTTP-стеке.

🛡 Компаниям, использующим Apache Traffic Server, необходимо немедленно обновиться и внедрить дополнительные защитные механизмы. В противном случае атакующие могут использовать данные уязвимости для серьёзного ущерба.