Apache Traffic Server Hit by Request Smuggling Vulnerability (CVE-2024-53868)
2025/04/04 securityonline — 広く採用されている高性能 HTTP プロキシ サーバ Apache Traffic Server (ATS) だが、リクエスト・スマグリング攻撃に対して脆弱であることが判明した。その原因である脆弱性 CVE-2024-53868 は、チャンク化されたメッセージを ATS が処理する方法に起因し、HTTP リクエスト処理に対する攻撃者の干渉を許すものだという。
Apache Traffic Server について簡単に説明すると、堅牢でスケーラブルなプロキシ・サーバであり、HTTP/1.1 と HTTP/2 プロトコルをサポートし、その速度と拡張性で知られるものとなる。そのオリジナルは商用製品だったが、Apache Foundation に寄贈され、現在では多数の Content Delivery Networks (CDN) や、コンテンツ所有者のインフラにおける重要なコンポーネントとなっている。
この問題の原因は、チャンク化された転送エンコーディングを使用する HTTP リクエストを、ATS が解析して処理する方法にある。このエンコーディング方式は、データを一連のチャンクとして送信できるため、データの合計サイズが不明な場合に便利である。しかし、脆弱性 CVE-2024-53868 を悪用する攻撃者は、特別に細工されたチャンク・メッセージ本文を悪用し、リクエスト・スマグリングを達成するという。
このリクエスト・スマグリングは、深刻なタイプの Web セキュリティ脆弱性である。それにより攻撃者は、他の正当なリクエスト内に HTTP リクエスト持ち込むことが可能になる。つまり、以下のような各種の悪意の結果を引き起こす可能性がある。
- セキュリティ制御のバイパス:攻撃者は、WAF (web application firewalls) や ACL (access control lists) を回避する機会を得る。
- キャッシュ・ポイズニング:悪意のリクエストがサーバによりキャッシュされ、他のユーザーに影響を与える可能性が生じる。
- セッション・ハイジャック:特定のシナリオでは、攻撃者によりユーザー・セッションの傍受/操作の可能性が生じる。
この脆弱性の影響を受ける、Apache Traffic Server のバージョンは次のとおりだ:
- ATS 9.0.0 〜 9.2.9/10.0.0 〜 10.0.4
すでに Apache は、修正プログラムを提供している。Apache Traffic Server のパッチ適用バージョンへと更新し、このリスクを軽減してほしい。
多くの Web サービスや CDN で利用されている Apache Traffic Server に、リクエスト・スマグリングの脆弱性が発生しています。この脆弱性が悪用されると、セキュリティ制御のバイパス/キャッシュ汚染などにつながる恐れがあるとのことです。ご利用のチームは、アップデートをご確認ください。なお、同サービスの前回の脆弱性は 2025/03/09 の「Apache Traffic の複数の脆弱性が FIX:リクエスト・スマグリングなどの恐れ」となります。よろしければ、Apache で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.