Httpoxy es una vulnerabilidad que descubrieron en julio del presente año, hasta el momento, a pesar del tiempo transcurrido no encuentran una solución, esto afecta a aplicaciones desarrolladas en php, phyton, entre otras, y lo que hace es agarrar los paquetes http y enviarlo a un proxy controlado totalmente por hackers.
La vulnerabilidad es ocasionada por el choque de nombres, si un cliente envía un header “proxy”, algunas aplicaciones CGI proceden a crear una variable de ambiente “HTTP_PROXY” que anula la variable real creada por el sistema, de manera que si en un header envío el nombre de un proxy malintencionado podria hasta llegar a tomar control del servidor.
¿Quienes pueden ser afectados? - Aplicaciones donde se utilice la variable HTTP_PROXY para configurar conexiones proxy. - Hacer peticiones a los servicios utilizando HTTP. - Desarrollos que utilicen prefijos como “HTTP_”
¿Cómo evitar la vulnerabilidad en nuestra aplicación? Afortunadamente es fácil de solucionar a nivel de aplicación, ignorando las variables, utilizando en las librerías un entorno diferente para el uso de proxy y a nivel del servidor se puede desmantelar el encabezado.
Eliminarla desde apache en Centos: El módulo mod_headers debería haber sido instalado por defecto, editamos el archivo: httpd.conf con el siguiente comando:
sudo nano /etc/httpd/conf/httpd.conf
Añadimos al final del archivo lo siguiente: ‘RequestHeader unset Proxy early’ Guardamos y revisamos si no tenemos errores de sintaxis con el comando ‘sudo apachectl configtest’
Reiniciamos!
Eliminarla desde nginx en Centos: Para desactivarlo ejecutamos lo siguiente: echo ‘fastcgi_param HTTP_PROXY "";’ | sudo tee -a /etc/nginx/fastcgi.conf echo ‘fastcgi_param HTTP_PROXY "";’ | sudo tee -a /etc/nginx/fastcgi_params
Si utilizamos nginx como proxy, debemos quitar las cabeceras: grep -r “proxy_pass” /etc/nginx
Revisamos sintaxis con ‘sudo nginx -t’ y después reiniciamos.
Con estos pasos podemos solucionar este error, puede variar por el sistema que estes utilizando pero los pasos deben ser parecidos. Por último puedes hacer una validación de tu site a ver si la vulnerabilidad sigue activa visitando el siguiente sitio: https://httpoxy.rehmann.co