Apache HTTP Server の脆弱性 CVE-2021-40438:悪用の実績と Cisco 製品群への影響

Experts warn of attacks exploiting CVE-2021-40438 flaw in Apache HTTP Server

2021/11/29 SecurityAffairs — 脅威アクターたちは、先日に Apache HTTP サーバーで見つかった、Server-Side Request Forgery (SSRF) の脆弱性 CVE-2021-40438 を悪用している。この CVE-2021-40438 は、mod_proxy モジュールを有効にしている、httpd Web サーバーに対して悪用される可能性がある。脅威アクターたちは、特別に細工したリクエストを用いて問題を引き起こし、任意のオリジン・サーバーに対して、このモジュールからリクエストを転送させることが可能だ。

この脆弱性は、9月中旬にリリースされた Version 2.4.49 で修正されているが、Version 2.4.48 以下では影響が生じる。Version 2.4.49 の変更履歴には、「細工されたリクエストの uri-path により、リモート・ユーザーが選択したオリジン・サーバーに対して、mod_proxy がリクエストを転送する可能性がある」と記されている。この脆弱性が公開されて以来、CVE-2021-40438 を悪用するための PoC が、いくつか公開されている。

現時点では、ドイツの Federal Office for Information Security (BSI) と Cisco の専門家たちが、この脆弱性を悪用した攻撃が続いていると警告している。Cisco はセキュリティ・アドバイザリを公開し、自社製品への影響を調査中であることを顧客に伝えている。

この問題は、同社の Prime Collaboration Provisioning/Security Manager/Expressway Series/TelePresence Video Communication Server (VCS) などに影響をおよぼす。しかし、Cisco は、現在も製品群を調査中であるとしている。Cisco のセキュリティ・アドバイザリには、「2021年11月、Cisco PSIRT は、CVE ID CVE-2021-40438 で特定される脆弱性の悪用の試みを認識している」と記されている。

ドイツの BSI も、この脆弱性に関する警告を発表しており、少なくとも1件の攻撃が生じていることを認識している。BSI は、「この脆弱性を攻撃者が悪用し、被害者のシステムからユーザー認証情報のハッシュ値を、不正に取得したケースが少なくとも1件あることを認識している。この脆弱性は、Apache HTTP Server 2.4.48 以下の、すべてのバージョンに影響する」と発表している。

この Apache HTTP サーバーの脆弱性 CVE-2021-40438 ですが、お隣のキュレーション・チームに聞いてみたところ、9月22日 Apache:10月2日 Ubuntu:10月7日 IBM:10月16日 RedHat Debian:10月23日 Amazon:10月28日 RedHat:11月26日 Cisco:12月4日 IBM という順番でレポートしているとのことです。文中では、Cisco (CVSS 9.0) の状況が懸念されていますが、膨大な数の製品がアップデートされているようです。

%d bloggers like this: