A Aris Telecom lançou um boletim urgente nesta madrugada, informando que sua equipe detectou uma ferramenta escrita por hackers para explorar a vulnerabilidade "chunked encoding", descoberta recentemente no servidor Apache. De acordo com a empresa de segurança, a ferramenta foi escrita inicialmente para atacar um servidor Apache rodando em sistema operacional OpenBSD, mas as configurações podem ser facilmente alteradas para funcionar em outros sistemas, entre eles Solaris, Linux e FreeBSD.
A Aris garante que, após algumas alterações no código-fonte da ferramenta, sua equipe conseguiu explorar a falha com sucesso em laboratório. "O problema se estende ainda mais, pois empresas como Red Hat e Conectiva, duas grandes distribuições Linux, ainda não tornaram disponível uma correção definitiva", comenta o boletim.
Os responsáveis por sites que utilizam o Apache como servidor não devem se descuidar, pois uma falha grave neste software, como a que foi divulgada, é tentadora demais para os crackers e script kiddies de plantão. O bug permite derrubar o sistema por meio de ataques de negação de serviço, alterar conteúdos dos sites e até executar códigos remotos na máquina afetada. Além disso, o Apache é o servidor Web mais usado do mundo, rodando em cerca de 60% das máquinas. A Apache Software Foundation, responsável pelo desenvolvimento do servidor, já disponibilizou novas versões do produto, livres da falha, e que podem ser baixadas em www.apache.org/dist/httpd/.
Os administradores que utilizam o Sistema de Detecção de Intrusões (IDS) Snort 1.9 também podem bloquear a ação da ferramenta hacker por meio da seguinte assinatura, divulgada pela Aris Telecom:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC
Transfer-Encoding: chunked"; flow:to_server,established;
content:"Transfer-Encoding:"; nocase; content:"chunked"; nocase;
reference:bugtraq,4474; reference:cve,can-2002-0079; reference:bugtraq,5033;
reference:cve,can-2002-0392; classtype:web-application-attack; sid:1807;
rev:1;)