Apache HTTP Server の脆弱性に対する対策について

要旨

- Apache HTTP Server の脆弱性 (CVE-2021-41773) を悪用した攻撃が報告されています。認証されていないユーザーによるリモートでの悪用が可能な脆弱性ですが、特定の条件に当てはまる場合にのみサーバーが脆弱な状態になります。
- Fastly ではすでにこの脆弱性による攻撃の検出が可能です (TRAVERSAL および CMDEXE)。ただし、さらなる予防策として、Fastly の次世代 WAF (旧 Signal Sciences) をご利用のお客様は、この脆弱性の悪用をブロックするルールを作成することをお勧めします (以下をご参照ください)。
- Apache HTTP Server のバージョン 2.4.49 を使用している場合は、Apache から提供されているパッチを直ちに適用する必要があります。


CVE-2021-41773 は、Apache HTTP Server のバージョン 2.4.49 のみに存在する脆弱性で、リモートでのコード実行を可能にし、パストラバーサル攻撃およびファイル開示につながる恐れがあります。 この脆弱性により、リモートユーザーが制限されたディレクトリに不正にアクセスし、リモートでコードを実行してターゲットシステムをコントロールする可能性があります。

影響範囲

この脆弱性は、デフォルトのアクセスコントロール設定である「require all denied」が無効化された Apache HTTP Server (httpd) のバージョン 2.4.49 にのみ影響します。そのため、この脆弱性を悪用するために攻撃者は上記の条件を満たすサーバーを見つける必要がありますが、Shodan のデータによると、この条件を満たすサーバーは10万台以上存在します。

攻撃者が認証されていないユーザーとしてこの脆弱性を悪用した場合、システムへのフルアクセスが可能になります。そこから機密情報の読み取りや、流出、最悪の場合はシステムをコントロールすることが可能です。さらに、この脆弱性が悪用されると、インタープリタで実行された CGI スクリプトなどのファイルのソースが漏洩する可能性があります。これらのファイルには、認証情報やキーなど、攻撃者にアクセスされてはならない重要なリソースが含まれている可能性があります。

ただし...

httpd のバージョン 2.4.49 がリリースされてからまだ2週間しか経っていないため、まだサーバーを更新していない企業はこの脆弱性の影響を受けません。これは、更新を先延ばしにしたことが功を奏した稀なケースであり、セキュリティ戦略ではなく、運がよかっただけと考えてください。

むしろ、「require all denied」を有効にするなど、安全なデフォルト設定を維持することが、適切なデフォルトのセキュリティ戦略であることが今回のことから分かります。

興味深い理由

ここ数年のエンジニアリングプラクティスの改善により、パストラバーサルや RCE の脆弱性はあまり見られなくなりました。そのため今回の脆弱性は、「Cyber Security Awareness」とハロウィーンの月にふさわしく、ゴーストのような不気味な雰囲気を醸し出しています。

詳細

以前に 2.4.49 で実施されたパストラバーサルの脆弱性の修正により、パストラバーサルで使用される文字 (「../」など) の存在をチェックするようになりました。残念ながら、この修正では、攻撃者がこうした文字をパーセントエンコードしたバージョンで提供する可能性を想定していませんでした。バージョン 2.4.50 で実施された新しい修正では、「%2E」と「%2e」がチェックされるようになりました。これらはドット (「.」) をエンコードしたもので、攻撃者はこの巧妙な抜け道を利用してパストラバーサル攻撃を行うことができなくなりました。

CVE blog image 1

ただし、Apache HTTP Server 2.4.50 での CVE-2021-41773 の修正にも不十分な点があることが判明しました。攻撃者は、パストラバーサル攻撃を利用して、Alias のようなディレクティブで設定されたディレクトリの外にあるファイルに URL をマッピングする可能性があります。

解決策

バージョン 2.4.49 を使用している Apache HTTP Server をご利用の場合は、「require all denied」設定が有効になっていることを確認し、さらに、この脆弱性 (および 2.4.50 で新たに見つかった脆弱性) の修正を含むバージョン 2.4.51 にアップグレードすることをお勧めします。

Fastly ではすでに、TRAVERSAL および CMDEXE のシグナルによって、この脆弱性による攻撃の検出が可能です。また、次世代 WAF をご利用のお客様は、以下の手順で CVE-2021-41773 の悪用から保護するサイトルールを有効にできます。

「Site Rules」で、「Create a site rule」をクリックします。次に、以下のように条件を入力します。

CVE blog image 2

さらに詳しく知りたい場合

Fastly Security Research Team
Fastly Security Research Team
投稿日

この記事は4分で読めます

興味がおありですか?
エキスパートへのお問い合わせ
この投稿を共有する
Fastly Security Research Team
Fastly Security Research Team

Fastly Security Research Team は、お客様が必要なツールやデータを利用してシステムを安全に保てる環境づくりに注力しています。同チームは Fastly ならではのスケールで攻撃を分析し、ブロックします。Fastly Security Research Team は、絶えず高度に変化し続けるセキュリティ環境の最先端を行く技術を駆使し、裏方としてお客様を支えるセキュリティエキスパートです。

Fastly試してみませんか ?

アカウントを作成してすぐにご利用いただけます。また、いつでもお気軽にお問い合わせください。