Vulnerabilidad HTTPOXY: Cómo proteger y probar su servidor web

La vulnerabilidad HTTPOXY que se ha encontrado recientemente es una vulnerabilidad que afecta a las aplicaciones que se ejecutan en entornos cgi o similares a cgi. Esto significa que el problema afecta a casi todos los servidores web, incluidos Apache y Nginx, y también a la mayoría de las aplicaciones PHP. Incluso el modo mod_php en apache se ve afectado.

Este tutorial le mostrará cómo proteger su servidor web de HTTPOXY. Contiene secciones para las distribuciones de Linux más utilizadas: CentOS + RHEL, Debian y Ubuntu. Los pasos también se pueden aplicar a otras distribuciones de Linux, pero las rutas a los archivos de configuración pueden diferir.

Una descripción detallada de la vulnerabilidad HTTPOXY se puede encontrar en este sitio web https://httpoxy.org/.

Los pasos descritos en este tutorial son compatibles con los tutoriales de servidor perfecto de ISPConfig.

1 ¿Cómo afecta HTTPOXY a mi servidor?

HTTPOXY afecta a los clientes que respetan la variable HTTP_PROXY y la utilizan para su configuración de proxy, así como a las aplicaciones del lado del servidor que utilizan HTTP_PROXY como variable real o emulada en su entorno. El resultado de un ataque puede ser tráfico que es proxied por la aplicación web a un sistema objetivo elegido por el atacante o la aplicación abre conexiones salientes a otros sistemas. La vulnerabilidad es fácilmente explotable de forma remota y los servidores pueden ser escaneados para ello, por lo que se recomienda encarecidamente tomar medidas para cerrarla en su servidor.

1.1 Solución general

La solución recomendada en este momento es desactivar o filtrar la variable de encabezado HTTP_PROXY. Esto se hace en apache con el módulo mod_headers y esta declaración de configuración:

RequestHeader unset Proxy early

En Nginx, puede usar esta línea para desactivar la variable HTTP_PROXY.

fastcgi_param HTTP_PROXY "";

El siguiente capítulo describe el procedimiento detallado para diferentes distribuciones de Linux.

2 Debian

Este capítulo describe la configuración para proteger Apache y Nginx en servidores Debian 8 (Jessie) y Debian 7 (Wheezy) contra HTTPOXY. Los siguientes pasos suponen que ha iniciado sesión como usuario root en la terminal. Si ha iniciado sesión con un usuario diferente, utilice el comando su (o sudo si ha configurado sudo) para convertirse en el usuario root.

2.2 Debian 8 (Jessie) con Apache

Habilite el módulo de encabezados de apache

a2enmod headers

Agregue un archivo de configuración global /etc/apache2/conf-available/httpoxy.conf. Usaré el editor nano aquí:

nano /etc/apache2/conf-available/httpoxy.conf

y pegue el siguiente contenido en ese archivo:

    RequestHeader unset Proxy early

Guarde el archivo. Luego, habilítelo en la configuración con el comando a2enconf y reinicie apache.

a2enconf httpoxy  
service apache2 restart

2.2 Debian 7 (Wheezy) con Apache

Habilite el módulo de encabezados de apache:

a2enmod headers

Agregue un archivo de configuración global /etc/apache2/conf.d/httpoxy.conf. Usaré el editor nano aquí:

nano /etc/apache2/conf.d/httpoxy.conf

y pegue el siguiente contenido en ese archivo:

    RequestHeader unset Proxy early

Guarde el archivo. Luego reinicie apache.

service apache2 restart

2.3 Debian con Nginx

El siguiente comando agregará un fastcgi_param que establece la variable HTTP_PROXY en una cadena vacía al archivo /etc/nginx/fastcgi_params.

echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Luego reinicie nginx para aplicar el cambio de configuración.

service nginx restart

3 Ubuntu

Este capítulo describe la configuración para proteger Apache y Nginx en servidores Ubuntu 14.04 - 16.04 contra HTTPOXY.

3.1 Ubuntu con Apache

Habilite el módulo de encabezados de apache.

sudo a2enmod headers

Agregue un archivo de configuración global /etc/apache2/conf-available/httpoxy.conf. Usaré el editor nano aquí:

sudo nano /etc/apache2/conf-available/httpoxy.conf

y pegue el siguiente contenido en ese archivo:

    RequestHeader unset Proxy early

Guarde el archivo. Luego, habilítelo en la configuración con el comando a2enconf y reinicie apache.

sudo a2enconf httpoxy  
sudo service apache2 restart

3.2 Ubuntu con Nginx

Los pasos para proteger Ubuntu contra HTTPOXY son similares a los de Debian. Solo tenemos que asegurarnos de ejecutar los comandos con sudo. Este comando echo agregará una línea fastcgi_param que establece la variable HTTP_PROXY como una cadena vacía. El archivo /etc/nginx/fastcgi_params está incluido en las secciones predeterminadas @PHP y cgi-bin de los archivos vhost de nginx y también en los vhosts que son creados por ISPConfig. Si ha agregado vhosts personalizados, verifique que contengan “include /etc/nginx/fastcgi_params;” en las secciones de configuración para php y otros conectores cgi o fastcgi.

Ejecute el siguiente comando para agregar la variable HTTP_PROXY vacía.

sudo echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Luego reinicie Nginx para aplicar el cambio de configuración.

sudo service nginx restart

4 CentOS, RHEL y Fedora

Este capítulo describe la configuración para proteger Apache y Nginx en servidores CentOS contra HTTPOXY. Los mismos pasos deberían funcionar para servidores Fedora también. Inicie sesión como usuario root en la terminal antes de continuar con los comandos a continuación.

4.1 Apache

El archivo de configuración de Apache (httpd) en CentOS es /etc/httpd/conf/httpd.conf. Agregaré la regla de encabezado de apache al final del archivo httpd.conf con este comando:

echo "RequestHeader unset Proxy early" >> /etc/httpd/conf/httpd.conf

Luego reinicie httpd para aplicar el cambio de configuración.

service httpd restart

4.2 Nginx

El servidor web Nginx en CentOS incluye los fastcgi_params en la sección PHP y CGI del vhost predeterminado, por lo que podemos agregar la regla para establecer la variable HTTP_PROXY vacía allí. Ejecute este comando para agregar la variable HTTP_PROXY vacía.

echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Luego reinicie nginx para aplicar el cambio de configuración.

service nginx restart

5 Prueba

Finalmente, debe probar si su servidor es seguro ahora. Luke Rehman ha desarrollado una buena herramienta de prueba en línea que se puede encontrar aquí: https://httpoxy.rehmann.co/

Ingrese la URL de su servidor o sitio web en la herramienta y haga clic en el botón “probar”.

Aquí está el resultado para howtoforge.com. Como puede ver, nuestro sitio web es seguro.

6 Enlaces

• El sitio web de HTTPOXY https://httpoxy.org/
• Gracias a Jesse por la receta de Debian 8.