2021年10月4日(現地時間)、Apache HTTP Serverの深刻な脆弱性を修正したバージョンが公開されました。同ソフトウエアの開発を行うThe Apache Software Foundationは既に脆弱性を悪用する活動を確認していると報告しています。ここでは関連する情報をまとめます。
何が起きたの?
- Webサーバーソフトウエア「Apache HTTP Server」の特定バージョン(2.4.49)において、深刻な脆弱性(CVE-2021-41773)を修正したバージョン(2.4.50)が公開された。また、修正前より悪用する動きがThe Apache Software Foundationによって確認されていた。
- 脆弱性の修正が行われた2日後、修正方法が不十分で継続して攻撃が可能であったこと、さらに再度脆弱性の影響が評価された結果深刻度が最高となり、修正版(2.4.51)がリリースされた。
- 脆弱性の実証コードがインターネット上に公開されており、脆弱性を狙った攻撃に関する活動についても報告が行われている。セキュリティ組織は影響を受ける場合、速やかな対応を呼びかけている。
脆弱性で何が起きるの?
脆弱性により次の影響を受ける可能性がある。
- ドキュメントルート外に格納されているファイルの読み出し(機密情報の流出など発生懸念)
- リモートコードの実行(マルウエアの実行など発生懸念)
但し稼働するサーバーの状況によっては影響を受けるかも含め、想定される影響が異なる。
- 既定ではhttpd.confにルートディレクトリに対するアクセス制限として
Require all denied
の記述が行われている。
影響を受けるバージョンはどれ?
2つの脆弱性の影響有無をバージョン別にまとめたところ、次の通り。
バージョン | CVE-2021-41773 | CVE-2021-42013 |
---|---|---|
Apache HTTP Server 2.4.48以前のバージョン (2.4.48は2021年6月1日リリース) |
対象外 | 対象外 |
Apache HTTP Server 2.4.49 (2021年9月16日リリース) |
対象 | 対象 |
Apache HTTP Server 2.4.50 (2021年10月4日リリース) |
対象外 | 対象 |
Apache HTTP Server 2.4.51 (2021年10月7日リリース) |
対象外 | 対象外 |
- Apache HTTP Serverのバージョンはコマンドの場合、
apachectl -v
(またはhttpd -v
)を実行して把握することが可能。 - Shodanによるバナー情報の解析などを通じて、世界中で約11万件(日本国内は約1,400件)の2.4.49のサーバー稼働の可能性があることがセキュリティベンダによって報告されている。但し、影響対象かどうか設定によって異なるため件数だけで影響規模の特定をすることは困難。
結局どうしたらいいの?
- 2.4.51以降のバージョンにアップデートを行うことで脆弱性は解決される。
- 影響を受ける条件が揃っていた場合、攻撃を受けている可能性を確認するためアクセスログの精査も行うことが望ましい。WAFを導入している場合は10月4日(脆弱性情報公開日)以前から攻撃が遮断可能であったかを確認する。
脆弱性の詳細について知りたい
- 今回パストラバーサル、RCEの脆弱性は10月4日以降に修正された3件の内、CVE-2021-41773、CVE-2021-42013の2つ。CVE-2021-42013はCVE-2021-41773の修正が不十分であったことに起因する脆弱性で、脆弱性の種類、影響は同様。
CVE | CVE-2021-41773 | CVE-2021-42013 |
---|---|---|
深刻度 | Important→Critical*1 | Critical |
CVSSv3(base) | ー | 7.5(JPCERT/CC評価) |
種類 | パストラーバル→その後 RCEも追加 | パストラバーサル、RCE |
確認日 | 2021年9月29日 | 2021年10月6日 |
修正版公開 | 2021年10月4日 | 2021年10月7日 |
報告者 | Ash Daulton氏 cPanel Security Team |
Juan Escobar氏 (Dreamlab Technologies) Fernando Muñoz氏 (NULL Life CTF Team) Shungo Kumasaka氏 Nattapon Jongcharoen氏 |
悪用の動向について知りたい
- The Apache Software Foundationが修正前に把握していたとする攻撃動向に関しては詳細な情報は公開されていない。
- 脆弱性情報の公開後はスキャニングなど、脆弱性を突くコードを観測したとする報告が国内でも複数確認されている。なお、脆弱性による被害報告は10月10日時点で確認できていない。
We've detected mass scanning activity from multiple hosts (🇨🇦 🇩🇪 🇮🇳 🇱🇺 🇳🇱 🇸🇬 🇬🇧 🇺🇸) checking for Apache HTTP servers vulnerable to CVE-2021-41773.
— Bad Packets (@bad_packets) 2021年10月6日
Query our API for "tags=CVE-2021-41773" for source IP addresses and other relevant indicators. #threatintel
脆弱性の実証コードについて知りたい
- GithubやTwitterを中心にパストラバーサル、RCEとも実証コードが多数投稿されている。
CVE-2021-41773
- CVE-2021-41773-PoC/CVE-2021-41773.py at main · lorddemon/CVE-2021-41773-PoC · GitHub
- GitHub - inbug-team/CVE-2021-41773_CVE-2021-42013: CVE-2021-41773 CVE-2021-42013漏洞批量检测工具
- GitHub - creadpag/CVE-2021-41773-POC: CVE-2021-41773
- GitHub - BlueTeamSteve/CVE-2021-41773: Vulnerable docker images for CVE-2021-41773
- https://twitter.com/RapidSafeguard/status/1445730458487033861
- https://twitter.com/hackerfantastic/status/1445529822071967745
公式情報や注意喚起は?
The Apache Software Foundation
注意喚起
ディストリビューション関連
影響ありとするディストリ(次期リリース除く)は確認できていない。またRHELはCVE-2021-42013の影響を確認中。(10月10日時点)
- Redhat https://access.redhat.com/security/cve/CVE-2021-41773
- Redhat https://access.redhat.com/security/cve/CVE-2021-42013
- debian https://security-tracker.debian.org/tracker/CVE-2021-41773
- debian https://security-tracker.debian.org/tracker/CVE-2021-42013
- ubuntu https://ubuntu.com/security/CVE-2021-41773
- ubuntu https://ubuntu.com/security/CVE-2021-42013
関連情報
〇 英語
- tenable CVE-2021-41773: Path Traversal Zero-Day in Apache HTTP Server Exploited
- Rapid7 Apache HTTP Server CVE-2021-41773 Exploited in the Wild | Rapid7 Blog
- Akamai Mitigating CVE-2021-41773: Apache HTTP Server Path Traversal
- blueliv CVE-2021-41773 - Apache web server Path traversal - Blueliv
- Cisco Talos Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Threat Advisory: Apache HTTP Server zero-day vulnerability opens door for attackers
- Nakedsecurity(Sophos)Apache web server zero-day bug is easy to exploit – patch now! – Naked Security
〇 日本語
- SIOS Apache HTTP Serverの脆弱性情報(Critical: CVE-2021-42013, Important: CVE-2021-41773, Moderate: CVE-2021-41524) (PoCつき)と新バージョン(2.4.51)
- SIDfm Apache httpd 2.4.49, 2.4.50 に任意のコードを実行される脆弱性 [CVE-2021-41773, CVE-2021-42013]
〇脆弱性データベース・情報
関連タイムライン
日時 | 出来事 |
---|---|
2021年9月16日 | Apache HTTP Server 2.4.49がリリース。 |
2021年9月29日 | 脆弱性情報(CVE-2021-41773)がセキュリティチームにレポートされる。 |
2021年10月1日 | 脆弱性(CVE-2021-41773)の修正が行われる。(r1893775) |
2021年10月4日 | 脆弱性(CVE-2021-41773)を修正した2.4.50がリリース。 |
2021年10月6日 | 脆弱性(CVE-2021-42013)がセキュリティチームにレポートされる。 |
2021年10月7日 | 脆弱性(CVE-2021-42013)の修正が行われる。(r1893977, r1893980, r1893982) |
同日 | 脆弱性(CVE-2021-42013)を修正した2.4.51がリリース。 |
(日付は全て現地時間で記載)
更新履歴
- 2021年10月10日 AM 新規作成
- 2021年10月11日 PM CVSSを追記
*1:2.4.50リリース当時より。2.4.51リリースのタイミングで変更されたとみられる。