Error de configuración en Apache expone servicios ONION

Un estudiante de informática encontró un error de configuración en el servidor web Apache, el cual potencialmente podría desenmascarar la verdadera identidad de dominios .ONION y servidores ocultos detrás de la red TOR.

Aunque la brecha se informó en Reddit hace meses, el problema se hizo público después de un tweet de Alec Muffet, un ingeniero muy conocido de Facebook.

Los servicios TOR Hidden (.onion) funcionan en la Deep Web, tienen un nombre de dominio especial de 16 caracteres alfanuméricos que termina con ".onion", están ocultos a la navegación tradicional y sólo son accesibles a través de la red TOR. Un sitio .onion se puede alojar sobre cualquier servidor web pero si se eligió Apache, entonces se podría ser vulnerable porque la configuración de Apache por defecto expone a los servidores TOR ocultos.

Según el informe, la mayoría de las distribuciones de Apache tienen el módulo mod_status habilitado de forma predeterminada, lo que podría revelar la verdadera identidad de los dominios .onion y ponerlos en riesgo de ser identificados. Este módulo ayuda a los administradores del servidor a controlar la salud del servidor web mediante una interfaz HTML y es accesible mediante un navegador web en localhost: http://localhost/server-status/

Sin embargo, funcionamiento del módulo en TOR puede resultar en la exposición de la página de estado del servidor  al mundo exterior. Esta página brinda datos sensibles del backend como la configuración del servidor, tiempo activo, uso de recursos, tráfico total, hosts virtuales y peticiones HTTP activas y es más que suficiente para averiguar la ubicación del servidor.

Cómo deshabilitar módulo mod_status en Apache

Si se está utilizando dominios .onion es recomendable desactivar el módulo mod_status.

sudo ap2dismod status

Con esto, si se solicita el estado del servidor, se dará un error 403 o 404.

Fuente: The Hacker News