Vulnerabilità HTTPOXY: Come proteggere e testare il tuo server web

La vulnerabilità HTTPOXY, recentemente scoperta, è una vulnerabilità che colpisce le applicazioni che funzionano in ambienti cgi o simili a cgi. Ciò significa che il problema colpisce quasi tutti i server web, inclusi Apache e Nginx, e anche la maggior parte delle applicazioni PHP. Anche la modalità mod_php su Apache è colpita.

Questo tutorial ti mostrerà come proteggere il tuo server web da HTTPOXY. Contiene sezioni per le distribuzioni Linux più utilizzate: CentOS + RHEL, Debian e Ubuntu. I passaggi possono essere applicati anche ad altre distribuzioni Linux, ma i percorsi ai file di configurazione potrebbero differire.

Una descrizione dettagliata della vulnerabilità HTTPOXY può essere trovata su questo sito web https://httpoxy.org/.
I passaggi descritti in questo tutorial sono compatibili con i tutorial del server perfetto ISPConfig.

1 Come influisce HTTPOXY sul mio server?

HTTPOXY colpisce i client che rispettano la variabile HTTP_PROXY e la utilizzano per la loro configurazione proxy e le applicazioni lato server che utilizzano HTTP_PROXY come variabile reale o emulata nel loro ambiente. Il risultato di un attacco può essere traffico che viene proxyato dall’applicazione web a un sistema target scelto dall’attaccante o l’applicazione apre connessioni in uscita verso altri sistemi. La vulnerabilità è facilmente sfruttabile da remoto e i server possono essere scansionati per essa, quindi è altamente raccomandato prendere misure per chiuderla sul tuo server.

1.1 Soluzione generale

La soluzione raccomandata al momento è di disattivare o filtrare la variabile di intestazione HTTP_PROXY. Questo viene fatto in Apache con il modulo mod_headers e questa dichiarazione di configurazione:

RequestHeader unset Proxy early

Su Nginx puoi usare questa riga per disattivare la variabile HTTP_PROXY.

fastcgi_param HTTP_PROXY "";

Il capitolo successivo descrive la procedura dettagliata per diverse distribuzioni Linux.

2 Debian

Questo capitolo descrive la configurazione per proteggere Apache e Nginx sui server Debian 8 (Jessie) e Debian 7 (Wheezy) contro HTTPOXY. I passaggi successivi presumono che tu sia connesso come utente root nella shell. Se sei connesso come un utente diverso, utilizza il comando su (o sudo se hai configurato sudo) per diventare l’utente root.

2.2 Debian 8 (Jessie) con Apache

Abilita il modulo intestazioni di Apache

a2enmod headers

Aggiungi un file di configurazione globale /etc/apache2/conf-available/httpoxy.conf. Userò qui l’editor nano:

nano /etc/apache2/conf-available/httpoxy.conf

e incolla il seguente contenuto in quel file:

    RequestHeader unset Proxy early

Salva il file. Quindi abilitalo nella configurazione con il comando a2enconf e riavvia Apache.

a2enconf httpoxy  
service apache2 restart

2.2 Debian 7 (Wheezy) con Apache

Abilita il modulo intestazioni di Apache:

a2enmod headers

Aggiungi un file di configurazione globale /etc/apache2/conf.d/httpoxy.conf. Userò qui l’editor nano:

nano /etc/apache2/conf.d/httpoxy.conf

e incolla il seguente contenuto in quel file:

    RequestHeader unset Proxy early

Salva il file. Quindi riavvia Apache.

service apache2 restart

2.3 Debian con Nginx

Il seguente comando aggiungerà un fastcgi_param che imposta la variabile HTTP_PROXY su una stringa vuota al file /etc/nginx/fastcgi_params.

echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Quindi riavvia Nginx per applicare la modifica della configurazione.

service nginx restart

3 Ubuntu

Questo capitolo descrive la configurazione per proteggere Apache e Nginx sui server Ubuntu 14.04 - 16.04 contro HTTPOXY.

3.1 Ubuntu con Apache

Abilita il modulo intestazioni di Apache.

sudo a2enmod headers

Aggiungi un file di configurazione globale /etc/apache2/conf-available/httpoxy.conf. Userò qui l’editor nano:

sudo nano /etc/apache2/conf-available/httpoxy.conf

e incolla il seguente contenuto in quel file:

    RequestHeader unset Proxy early

Salva il file. Quindi abilitalo nella configurazione con il comando a2enconf e riavvia Apache.

sudo a2enconf httpoxy  
sudo service apache2 restart

3.2 Ubuntu con Nginx

I passaggi per proteggere Ubuntu contro HTTPOXY sono simili a quelli per Debian. Dobbiamo solo assicurarci di eseguire i comandi con sudo. Questo comando echo aggiungerà una riga fastcgi_param che imposta la variabile HTTP_PROXY come una stringa vuota. Il file /etc/nginx/fastcgi_params è incluso nelle sezioni predefinite @PHP e cgi-bin dei file vhost di nginx e anche nei vhosts che vengono creati da ISPConfig. Se hai aggiunto vhosts personalizzati, controlla che contengano “include /etc/nginx/fastcgi_params;” nelle sezioni di configurazione per php e altri connettori cgi o fastcgi.

Esegui il seguente comando per aggiungere la variabile HTTP_PROXY vuota.

sudo echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Quindi riavvia Nginx per applicare la modifica della configurazione.

sudo service nginx restart

4 CentOS, RHEL e Fedora

Questo capitolo descrive la configurazione per proteggere Apache e Nginx sui server CentOS contro HTTPOXY. Gli stessi passaggi dovrebbero funzionare anche per i server Fedora. Accedi come utente root nella shell prima di procedere con i comandi qui sotto.

4.1 Apache

Il file di configurazione di Apache (httpd) su CentOS è /etc/httpd/conf/httpd.conf. Aggiungerò la regola dell’intestazione apache alla fine del file httpd.conf con questo comando:

echo "RequestHeader unset Proxy early" >> /etc/httpd/conf/httpd.conf

Quindi riavvia httpd per applicare la modifica della configurazione.

service httpd restart

4.2 Nginx

Il server web Nginx su CentOS include i fastcgi_params nella sezione PHP e CGI del vhost predefinito, quindi possiamo aggiungere la regola per impostare la variabile HTTP_PROXY vuota lì. Esegui questo comando per aggiungere la variabile HTTP_PROXY vuota.

echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Quindi riavvia Nginx per applicare la modifica della configurazione.

service nginx restart

5 Test

Infine, dovresti testare se il tuo server è sicuro ora. Luke Rehman ha sviluppato un bel strumento di test online che può essere trovato qui: https://httpoxy.rehmann.co/

Inserisci l’URL del tuo server o sito web nello strumento e fai clic sul pulsante “test”.

Ecco il risultato per howtoforge.com. Come puoi vedere, il nostro sito web è sicuro.

6 Link

• Il sito web HTTPOXY https://httpoxy.org/
• Grazie a Jesse per la ricetta di Debian 8.