Vulnerabilidade HTTPOXY: Como proteger e testar seu servidor web

A vulnerabilidade HTTPOXY, que foi encontrada recentemente, é uma vulnerabilidade que afeta aplicações que rodam em ambientes cgi ou semelhantes a cgi. Isso significa que o problema afeta quase todos os servidores web, incluindo Apache e Nginx, e também a maioria das aplicações PHP. Até o modo mod_php no Apache é afetado.

Este tutorial mostrará como proteger seu servidor web contra HTTPOXY. Ele contém seções para as distribuições Linux mais usadas: CentOS + RHEL, Debian e Ubuntu. Os passos podem ser aplicados a outras distribuições Linux também, mas os caminhos para os arquivos de configuração podem diferir.

Uma descrição detalhada da vulnerabilidade HTTPOXY pode ser encontrada neste site https://httpoxy.org/.
Os passos descritos neste tutorial são compatíveis com os tutoriais do servidor perfeito ISPConfig.

1 Como o HTTPOXY afeta meu servidor?

HTTPOXY afeta clientes que respeitam a variável HTTP_PROXY e a usam para sua configuração de proxy, e aplicações do lado do servidor que usam HTTP_PROXY como variável real ou emulada em seu ambiente. O resultado de um ataque pode ser tráfego que é enviado pela aplicação web para um sistema alvo escolhido pelo atacante ou a aplicação abre conexões de saída para outros sistemas. A vulnerabilidade é facilmente explorável remotamente e os servidores podem ser escaneados para isso, portanto, é altamente recomendado tomar ações para fechá-la em seu servidor.

1.1 Solução geral

A solução recomendada no momento é desconfigurar ou filtrar a variável de cabeçalho HTTP_PROXY. Isso é feito no Apache com o módulo mod_headers e esta declaração de configuração:

RequestHeader unset Proxy early

No Nginx, você pode usar esta linha para desconfigurar a variável HTTP_PROXY.

fastcgi_param HTTP_PROXY "";

O próximo capítulo descreve o procedimento detalhado para diferentes distribuições Linux.

2 Debian

Este capítulo descreve a configuração para proteger Apache e Nginx em servidores Debian 8 (Jessie) e Debian 7 (Wheezy) contra HTTPOXY. Os próximos passos assumem que você está logado como usuário root no shell. Se você estiver logado como um usuário diferente, use o comando su (ou sudo se você configurou sudo) para se tornar o usuário root.

2.2 Debian 8 (Jessie) com Apache

Ative o módulo de cabeçalhos do Apache

a2enmod headers

Adicione um arquivo de configuração global /etc/apache2/conf-available/httpoxy.conf. Eu usarei o editor nano aqui:

nano /etc/apache2/conf-available/httpoxy.conf

e cole o seguinte conteúdo nesse arquivo:

    RequestHeader unset Proxy early

Salve o arquivo. Em seguida, ative-o na configuração com o comando a2enconf e reinicie o Apache.

a2enconf httpoxy  
service apache2 restart

2.2 Debian 7 (Wheezy) com Apache

Ative o módulo de cabeçalhos do Apache:

a2enmod headers

Adicione um arquivo de configuração global /etc/apache2/conf.d/httpoxy.conf. Eu usarei o editor nano aqui:

nano /etc/apache2/conf.d/httpoxy.conf

e cole o seguinte conteúdo nesse arquivo:

    RequestHeader unset Proxy early

Salve o arquivo. Em seguida, reinicie o Apache.

service apache2 restart

2.3 Debian com Nginx

O seguinte comando adicionará um fastcgi_param que define a variável HTTP_PROXY como uma string vazia no arquivo /etc/nginx/fastcgi_params.

echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Em seguida, reinicie o Nginx para aplicar a alteração de configuração.

service nginx restart

3 Ubuntu

Este capítulo descreve a configuração para proteger Apache e Nginx em servidores Ubuntu 14.04 - 16.04 contra HTTPOXY.

3.1 Ubuntu com Apache

Ative o módulo de cabeçalhos do Apache.

sudo a2enmod headers

Adicione um arquivo de configuração global /etc/apache2/conf-available/httpoxy.conf. Eu usarei o editor nano aqui:

sudo nano /etc/apache2/conf-available/httpoxy.conf

e cole o seguinte conteúdo nesse arquivo:

    RequestHeader unset Proxy early

Salve o arquivo. Em seguida, ative-o na configuração com o comando a2enconf e reinicie o Apache.

sudo a2enconf httpoxy  
sudo service apache2 restart

3.2 Ubuntu com Nginx

Os passos para proteger o Ubuntu contra HTTPOXY são semelhantes aos do Debian. Precisamos apenas garantir que os comandos sejam executados com sudo. Este comando echo adicionará uma linha fastcgi_param que define a variável HTTP_PROXY como uma string vazia. O arquivo /etc/nginx/fastcgi_params está incluído nas seções padrão @PHP e cgi-bin dos arquivos vhost do Nginx e também em vhosts que são criados pelo ISPConfig. Se você adicionou vhosts personalizados, verifique se eles contêm “include /etc/nginx/fastcgi_params;” nas seções de configuração para php e outros conectores cgi ou fastcgi.

Execute o seguinte comando para adicionar a variável HTTP_PROXY vazia.

sudo echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Em seguida, reinicie o Nginx para aplicar a alteração de configuração.

sudo service nginx restart

4 CentOS, RHEL e Fedora

Este capítulo descreve a configuração para proteger Apache e Nginx em servidores CentOS contra HTTPOXY. Os mesmos passos devem funcionar para servidores Fedora também. Faça login como usuário root no shell antes de prosseguir com os comandos abaixo.

4.1 Apache

O arquivo de configuração do Apache (httpd) no CentOS é /etc/httpd/conf/httpd.conf. Eu adicionarei a regra de cabeçalho do Apache no final do arquivo httpd.conf com este comando:

echo "RequestHeader unset Proxy early" >> /etc/httpd/conf/httpd.conf

Em seguida, reinicie o httpd para aplicar a alteração de configuração.

service httpd restart

4.2 Nginx

O servidor web Nginx no CentOS inclui os fastcgi_params na seção PHP e CGI do vhost padrão, então podemos adicionar a regra para definir a variável HTTP_PROXY vazia lá. Execute este comando para adicionar a variável HTTP_PROXY vazia.

echo 'fastcgi_param HTTP_PROXY "";' >> /etc/nginx/fastcgi_params

Em seguida, reinicie o Nginx para aplicar a alteração de configuração.

service nginx restart

5 Teste

Finalmente, você deve testar se seu servidor está seguro agora. Luke Rehman desenvolveu uma boa ferramenta de teste online que pode ser encontrada aqui: https://httpoxy.rehmann.co/

Digite a URL do seu servidor ou site na ferramenta e clique no botão “testar”.

Aqui está o resultado para howtoforge.com. Como você pode ver, nosso site está seguro.

6 Links

• O site HTTPOXY https://httpoxy.org/
• Agradecimentos a Jesse pela receita do Debian 8.