Apache 2.4.51 がリリース:2.4.50 で改善されなかった攻撃ベクターを遮断

Apache emergency update fixes incomplete patch for exploited bug

2021/10/07 BleepingComputer — Apache Software Foundation は、HTTP Web Server 2.4.51 をリリースした。なぜなら、前回の Ver 2.4.50 へのセキュリティ・アップデートが、積極的に悪用されている脆弱性を、正しく修正していないことを研究者が発見したからである。Apache HTTP Server は、オープンソースのクロス・プラットフォーム Web サーバーであり、世界中の Web サイトの約25%を支えている。

火曜日のこと、Apache は Apache HTTP 2.4.50 をリリースし、積極的に悪用されている Ver 2.4.49 のパス・トラバーサルの脆弱性 (CVE-2021-41773) を修正した。この欠陥は、脆弱なサーバーに保存されたファイル内容が、脅威アクターにより閲覧されるものだと伝えられていた。

研究者たちは、「Apache HTTP Server 2.4.49 のパス正規化に関する変更に、欠陥が見つかった。攻撃者は、パス・トラバーサル攻撃を利用して、想定されるドキュメント・ルートの外側にあるファイルに、URL をマッピングできる。ドキュメント・ルート外のファイルが、require all denied で保護されていない場合、これらのリクエストは成功する可能性がある。さらに、この欠陥により、CGI スクリプトなどのインタープリットされたファイルの、ソースが漏洩する可能性がある」と述べていた。

Shodan で検索したところ、112,000台以上の Apache HTTP サーバーがインターネット上に公開されており、脆弱性があることが判明したため、攻撃者は幅広いターゲットを選べる状態にある。

また、このアップデートが公開された直後に、セキュリティ研究者が、この脆弱性を利用した攻撃方法を分析/公開した。さらに、この脆弱性は、mod_cgi モジュールがロードされ、デフォルトの「Require all denied」オプションが欠落している場合、リモートコード実行に利用される可能性があることも判明した。このように、多くのサーバにリモートコード実行の脆弱性が存在するため、管理者にとって Apache HTTP サーバーの更新は、きわめて重要になっている。

緊急アップデートで不完全なパッチを修正

そして、今日、Apache は Ver 2.4.51 をリリースした。なぜなら、活発に悪用されている脆弱性 CVE-2021-41773 に対する前回の修正が、不完全であると判明したからである。Apache は、「Apache HTTP Server 2.4.50 の CVE-2021-41773 の修正が不完全であることが判明した。攻撃者は、パス・トラバーサル攻撃を用いて、Alias のようなディレクティブで設定されたディレクトリの外にあるファイルに、URL をマッピングできる」と、更新されたアドバイザリで発表している。

さらに、「これらのディレクトリ外にあるファイルが、通常のデフォルト設定である「require all denied」で保護されていない場合、これらのリクエストは成功する可能性がある。これらのエイリアス・パスに対して CGI スクリプトも有効になっている場合には、リモートコード実行が生じる可能性がある」と付け加えている。この新しいパス・トラバーサル・ベクターは、CVE-2021-42013 として追跡されており、Dreamlab Technologies の Juan Escobar と、NULL Life CTF Team のFernando Muñoz と Shungo Kumasaka により公開されたものである。

US-CERT (United States Computer Emergency Readiness Team) によると、この新しい脆弱性は、現在進行中の攻撃でも悪用されているとのことだ。今回、この脆弱性が正式に公開されたことで、新たなエクスプロイトが脅威アクターたちに作成される日も、そう遠くはないだろう。そのため、前回のパッチで改善されていなかった攻撃ベクターを取り除くために、管理者たちに強く推奨されるのは、直ちに Apache HTTP 2.4.51 にアップグレードすることだ。

つい先日に、「Apache Web Server のゼロデイ脆弱性 CVE-2021-41773 はリモートコード実行」をポストしていますが、管理者の方は、またアップデートになってしまい大変ですね。きっと、今度は大丈夫でしょう 🙂

%d bloggers like this: