Un par de estudios han mostrado como miles de websites montadas sobre servidores Apaches siguen mostrando públicamente datos internos que podrían ser utilizados por atacantes a través de la funcionalidad server-status.
Un estudio de Daniel Cid, CTO de la firma de seguridad Sucuri y después ampliado HD Moore, CSO de Rapid7 y arquitecto jefe de Metasploit, muestra como un destacable porcentaje de las webs montadas sobre Apache webserver, dejan abierto y sin filtrar la característica server-status.
Server-status es una funcionalidad muy útil de los servidores Apache que nos permite controlar el estado del servidor, el número de procesos funcionando, el estado de cada request, las IP de los visitantes... pero si se deja abierto al mundo sin filtrar también puede revelar datos útiles a los atacantes como la url completa de lo que estemos visitando, identificadores de sesión o incluso nombres de usuarios y contraseñas en plano..
Webs como NBA, Ford, Cisco...siguen teniendo la página de server-status abierta al público, en este link tenéis el listado completo obtenido por Daniel Cid.
Sin duda server-status es de gran utilidad, pero como casi todo en nuestras redes, es mucho mejor filtrarlo para que solo nosotros podamos tener acceso a este tipo de recursos.
