Apache Software Foundationは、HTTP Web Serverのバージョン2.4.50をリリースし、2つの脆弱性に対応しました。そのうちの1つは、パス・トラバーサルとファイル・ディスクロージャーの脆弱性として、積極的に攻撃に悪用されている脆弱性になります。
Apache HTTPサーバは、オープンソースでクロスプラットフォームのWebサーバであり、汎用性、堅牢性、および無償性の点で非常に人気があります。そのため、この製品に脆弱性があると広範囲に影響が及びます。
今回の脆弱性は、CVE-2021-41773として追跡されており、パス・トラバーサル攻撃を行うことで、想定されるドキュメント・ルートの外側にあるファイルにURLをマッピングすることができます。
Apache HTTP Server 2.4.49 で行われたパスの正規化に関する変更に脆弱性がありました。攻撃者はパストラバーサル攻撃を用いて、期待されるドキュメントルートの外側にあるファイルに URL をマッピングすることができます。ドキュメントルート外のファイルが「require all denied」で保護されていない場合、これらのリクエストは成功する可能性があります。
さらに、この脆弱性により、CGI スクリプトなどの解釈されたファイルのソースが漏洩する可能性があります。この問題はすでに悪用されることが知られています。この問題は Apache 2.4.49 のみに影響し、それ以前のバージョンには影響しません。
パス・トラバーサル攻撃とは
パス・トラバーサル攻撃は、バックエンドや機密性の高いサーバーのディレクトリにアクセスするリクエストを送信します。通常これらのリクエストはブロックされますが、今回のケースでは、URLにエンコードされた文字(ASCII)を使用することで、フィルターを回避しています。
この脆弱性が公開されると、管理者は直ちにパッチを当てるべきだと警告しています。
Shodanで検索したところ、Apache HTTP Server 2.4.49は10万台以上がオンラインで展開されており、その多くが悪用される可能性があるため、できるだけ早くソフトウェアを更新することが急務であると考えられます。
Apache 2.4.49 に新たに発生したパス・トラバーサル脆弱性 CVE-2021-41773 を再現しました。
ドキュメントルートの外にあるファイルが “require all denied” で保護されていない場合、これらのリクエストは成功する可能性があります。
早急にパッチを当ててください。
この脆弱性は、2021年9月29日にセキュリティ研究者のAsh Daulton氏とcPanel Security Teamによって発見され、Apacheに報告されました。積極的に攻撃に利用されている脆弱性であるため、そのパッチ修正はかなり早く行われました。
現時点では、この脆弱性が攻撃にどのように利用されているかは不明ですが、Apacheからは
Apache HTTP Server 2.4.49は数週間前にリリースされたばかりなので、多くのユーザーはまだアップグレードしていないと思われます。この問題がどのように悪用されるかは、ユーザーがどのようにサーバーを設定するかに大きく依存します。2.4.49を使用している場合は、アクセスコントロールの設定を緩和策として使用するのではなく、最新のバージョンにアップグレードすることをお勧めします。
なお、デフォルトでインストールされている場合でも、攻撃者はこの脆弱性を利用して、CGIスクリプトなどの解釈されたファイルのソースコードを取得することができます。
2つ目の脆弱性は、CVE-2021-41524で、HTTP/2のリクエスト処理中に検出されるNULLポインタの脱参照です。この脆弱性により、攻撃者はサーバーに対してサービス拒否(DoS)攻撃を行うことができます。
この脆弱性も、Apache Serverのバージョン2.4.49にしか存在しませんが、積極的に攻撃に利用されているわけではありません。
Comments