Linuxdocs.nl

  • Vergroot lettergrootte
  • Standaard lettergrootte
  • Verklein lettergrootte

Hacktool legt 'kwetsbaarheid' Apache bloot

E-mail Afdrukken PDF

Een beveiligingsonderzoeker heeft een tool uitgebracht waarmee Apache-servers op de knieën kunnen worden gekregen. De hacktool Slowloris zou dit weten te bereiken door de webserver te bestoken met 'oneindige' http-requests.

De tool verstuurt incomplete http-requests naar een Apache-server en blijft deze 'aanvullen' met nieuwe gegevens, zodat de webserver gedwongen wordt om voor elke aanvraag min of meer permanent een socket te reserveren. Op deze manier worden de resources van een Apache-server langzaam maar zeker uitgeput, waarna geen nieuwe http-requests meer kunnen worden verwerkt. Uit een test door onze servergoeroe Kees bleek overigens dat 'langzaam' een relatief begrip is: hij wist een Apache-server met de tool in enkele seconden om zeep te helpen.

Hansen noemt een aanval met Slowloris - die met slechts een enkele machine kan worden uitgevoerd - een slow denial of service attack, omdat het enige tijd kan duren voordat alle sockets op een Apache-server zijn bezet. Hij benadrukt echter dat het niet gaat om een klassieke tcp-dos-aanval, waardoor een specifieke virtuele webserver kan worden aangevallen, zonder dat de machine die de server huisvest, daar last van heeft. Volgens de beveiligingsonderzoeker zijn met name Apache-servers die gebruik maken van threading kwetsbaar, omdat het aantal threads beperkt is. Slowloris kan bovendien de inhoud van de host-headers variëren, waardoor aanvallen minder makkelijk in de logbestanden ontdekt zullen worden.

Met een aanval van Slowloris wordt door Hansen een kwetsbaarheid in Apache blootgelegd die volgens hem veroorzaakt wordt door structurele ontwerpfouten in de opensource-webserver. Ook kan de configuratie van Apache volgens hem onvoldoende worden aangepast om dergelijke aanvallen met succes af te slaan, al liet Apache weten dat er mogelijkheden zijn om de aanvallen minder effectief te maken. Dat kan echter wel ten koste van de functionaliteit van de server gaan. Het SANS-instituut laat weten dat er met behulp van de Perlbal-reverse proxy wel een effectieve verdedigingswal kan worden opgeworpen.

De publicatie van Slowloris is van diverse kanten bekritiseerd omdat de beveiligingsonderzoeker nieuw hackgereedschap aan kwaadwillenden ter beschikking stelt. Hansen meent echter dat de ontwikkelaars van webservers beter moeten gaan nadenken over het probleem. Bovendien zouden de Apache-ontwikkelaars voldoende op de hoogte zijn van de kwetsbaarheden in het ontwerp. Dat kan kloppen, zegt ook Kees: "Dit is al jaren bekend. De vraag is vooral hoeveel mensen het nu gaan uitproberen."

 Bron: tweakers.net

 

Laatste aanpassing op zondag 21 juni 2009 17:47