CVE-2024-40725 & CVE-2024-40898: Apache HTTP Server Flaws Put Millions of Websites at Risk
2024/07/17 SecurityOnline — Apache Software Foundation が発表したセキュリティ・アドバイザリは、Apache HTTP Server のバージョン 2.4.0 ~ 2.4.61 に影響を及ぼす、2つの深刻な脆弱性 CVE-2024-40725/CVE-2024-40898 に関するものだ。これらの脆弱性は、世界中の Web サーバに重大なリスクをもたらし、ソースコードの漏洩/サーバーサイド・リクエストフォージェリ (SSRF) 攻撃を引き起こす可能性を持つ。
CVE-2024-40725: AddType 設定ハンドラを経由するソースコード開示
この脆弱性は、以前にはバージョン 2.4.61 で解決済みと考えられていた、古い脆弱性 CVE-2024-39884 を部分的に修正したものだ。しかし、特定の古いコンフィグ設定を悪用する攻撃者は、依然として機密性の高いソースコードの公開が可能であり、その中には、表示ためのではなく、実行のための PHP スクリプトも含まれる。この脆弱性により、機密情報が漏洩してサーバの完全性が損なわれる可能性が生じる。
CVE-2024-40898: Windows における mod_rewrite の SSRF
この SSRF の脆弱性により、特に Windows システム上の Apache HTTP サーバは、標的にされやすいとされる。サーバやバーチャルホストのコンテキストで、この脆弱性と “mod_rewrite” コンフィグが組み合わされると、サーバからの NTML ハッシュ抽出を、攻撃者に対して許す可能性がある。これらのハッシュにより、ネットワーク上での不正アクセスの取得が可能となり、さらなる攻撃を仕掛けるために悪用される可能性が生じる。
緩和策と緊急アップデート
Apache HTTP Server の広範に利用により、これらの脆弱性の影響が増幅していく。中小企業から大企業に至るまで、無数の Web サイトやアプリケーションが、このソフトウェアに依存し、オンライン・プレゼンスを支えている。悪用の可能性は高く、その影響が広範囲に及ぶ可能性がある。これらの脆弱性を悪用するサイバー犯罪者たちは、システム侵害への足がかりを取得し、機密データの搾取/Web サイトの改ざん/ランサムウェア攻撃などを仕掛ける可能性を手にする。
Apache Software Foundation が、すべてのユーザーに対して強く推奨しているのは、バージョン 2.4.62 へと直ちにアップグレードすることだ。このアップデートにより、2つの脆弱性は修正され、潜在的な攻撃に対する保護が提供される。アップグレードの遅滞により、Web サーバが深刻なセキュリティ・リスクに直面する可能性が生じる。
Apache HTTP Server ですが、2024/07/01 の「Apache HTTP Server の緊急アップデート:ただちにパッチ適用を!」と、2024/07/04 の「Apache HTTP Server の脆弱性 CVE-2024-39884 が FIX:情報漏えいの恐れ」に続いて、7月に入ってからの3回目のアップデートとなります。ご利用のチームは、ご注意ください。よろしければ、Apache HTTP Server で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.