Apache Web Server のゼロデイ脆弱性 CVE-2021-41773 はリモートコード実行

Actively exploited Apache 0-day also allows remote code execution

2021/10/06 BleepingComputer — Apache Web Server のゼロデイ PoC (Proof-of-Concept:概念実証) がインターネット上で公開されたが、この脆弱性は当初公開されたものよりも、はるかに深刻であることが明らかになった。この脆弱性は、パス・トラバーサルの範囲を超えており、攻撃者はリモート・コード実行 (RCE) が可能となる。Apache は、25% 以上の市場シェアを持つ、最も人気の Web サーバの1つである。

パストラバーサルからリモートコード実行へ

BleepingComputer が報告した Apache HTTP サーバーのパストラバーサルの脆弱性は、9月に Apache プロジェクトが欠陥を修正する前に、ワイルドかつ積極的に悪用されてきた。しかし、昨日、CVE-2021-41773 として追跡されていた パス・トラバーサルの脆弱性公開された直後に、インターネット上に PoC エクスプロイトが登場した。
しかし、この PoC エクスプロイトが開発され、精査される間に、別の発見があった。Apache Server Ver 2.4.49 を悪用して、任意のファイルを読み取るだけでなく、サーバ上で任意のコードを実行することができるというのだ。

セキュリティ研究者の Hacker Fantastic は、このサーバーが mod_cgi 経由で CG Iをサポートするように設定されている場合、この欠陥は Linux システム上でのリモートコード実行 (RCE) の脆弱性になると指摘している。攻撃者がパス・トラバーサルを利用してファイルをアップロードし、そのファイルに実行権限を設定した場合、Apache プロセスと同じ権限でコマンドを実行することができる。

CERT の脆弱性アナリストである Will Dormann と、セキュリティ研究者の Tim Brown も、Windowsマシンでのコード実行に成功したと報告している。Dormann は、自身の Windows サーバー上で簡単な PoC を実行しているうちに、パス・トラバーサル・エクスプロイトを使って EXE にアクセスすると、単に EXE のコンテンツをダンプするのではなく、サーバー上のバイナリが起動することに気づいた。

Dormann は、「Calc.exe が起動するのを見たとき、私は Windows 上で公開されている PoC を再現していただけで、何か賢いことをしていたわけではない。Apache の最初の勧告では、この欠脆弱性が悪用されると、スクリプトを実行するのではなく、スクリプトのソースコードをリークする程度であると書かれていた。したがって、CVE-2021-41773 が公開されたときに、スコープが間違っていたのではないかと推測した」と指摘している。

すべてのインストールに脆弱性があるわけではない

BleepingComputer が行った Shodan 調査によると、112,000台以上の Apache Server が脆弱な Ver 2.4.49 を実行していることが分かっているが、すべてのサーバーが危険にさらされているわけではない。

パストラバーサルの悪用が成功するかどうかは、サーバーで mod-cgi が有効になっているかどうかや、デフォルトの Require all denied オプションが、設定から抜けているかどうかなど、さまざまな要因に左右される。しかし、前述の基準の項目がすべて当てはまる場合、この脆弱性が任意のコード実行に発展する可能性が高いと考えられる。

Dormann は、「繰り返しになるが、この問題の条件として、Apache は Ver 2.4.49 である必要があり、mod-cgi が有効になっていて、デフォルトのRequire all denied が欠けている必要がある。そして、その両方が当てはまるならば、CVE-2021-41773 は RCE になる」と説明している。

サーバー管理者は、Apache HTTP Server インスタンスが、パッチを適用した Ver 2.4.50 以上で動作していることを確認する必要がある。脅威情報アナリストの Florian Roth は、このゼロデイに対するアクティブなエクスプロイトを検出するための Sigma ルールを提供している。

先日にポストした「Apache Airflow のミス・コンフィグレーションにより膨大な機密情報が流出」も、古い脆弱性が悪用されるリスクを指摘していました。それと、最近良く目にする Shodan というサーチ・エンジンですが、かなり強力な機能を持っているようです。どの記事かは忘れてしまいましたが、ランサムウェア・ギャングも利用しているようです。本来は、この記事にあるように、脆弱性を探し出すためのものなので、上手く利用したいですね。

%d bloggers like this: