piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Apache HTTP Server の深刻な脆弱性CVE-2021-41773とCVE-2021-42013についてまとめてみた

2021年10月4日(現地時間)、Apache HTTP Serverの深刻な脆弱性を修正したバージョンが公開されました。同ソフトウエアの開発を行うThe Apache Software Foundationは既に脆弱性を悪用する活動を確認していると報告しています。ここでは関連する情報をまとめます。

何が起きたの?

  • Webサーバーソフトウエア「Apache HTTP Server」の特定バージョン(2.4.49)において、深刻な脆弱性(CVE-2021-41773)を修正したバージョン(2.4.50)が公開された。また、修正前より悪用する動きがThe Apache Software Foundationによって確認されていた。
  • 脆弱性の修正が行われた2日後、修正方法が不十分で継続して攻撃が可能であったこと、さらに再度脆弱性の影響が評価された結果深刻度が最高となり、修正版(2.4.51)がリリースされた。
  • 脆弱性の実証コードがインターネット上に公開されており、脆弱性を狙った攻撃に関する活動についても報告が行われている。セキュリティ組織は影響を受ける場合、速やかな対応を呼びかけている。

脆弱性で何が起きるの?

脆弱性により次の影響を受ける可能性がある。

  • ドキュメントルート外に格納されているファイルの読み出し(機密情報の流出など発生懸念)
  • リモートコードの実行(マルウエアの実行など発生懸念)

但し稼働するサーバーの状況によっては影響を受けるかも含め、想定される影響が異なる。

f:id:piyokango:20211010021159p:plain
サーバーの状況により受ける影響が異なる
  • 既定ではhttpd.confにルートディレクトリに対するアクセス制限としてRequire all deniedの記述が行われている。

影響を受けるバージョンはどれ?

2つの脆弱性の影響有無をバージョン別にまとめたところ、次の通り。

バージョン CVE-2021-41773 CVE-2021-42013
Apache HTTP Server 2.4.48以前のバージョン
(2.4.48は2021年6月1日リリース)
対象外 対象外
Apache HTTP Server 2.4.49
(2021年9月16日リリース)
対象 対象
Apache HTTP Server 2.4.50
(2021年10月4日リリース)
対象外 対象
Apache HTTP Server 2.4.51
(2021年10月7日リリース)
対象外 対象外
  • Apache HTTP Serverのバージョンはコマンドの場合、apachectl -v(またはhttpd -v)を実行して把握することが可能。
  • Shodanによるバナー情報の解析などを通じて、世界中で約11万件(日本国内は約1,400件)の2.4.49のサーバー稼働の可能性があることがセキュリティベンダによって報告されている。但し、影響対象かどうか設定によって異なるため件数だけで影響規模の特定をすることは困難。

結局どうしたらいいの?

  • 2.4.51以降のバージョンにアップデートを行うことで脆弱性は解決される。
  • 影響を受ける条件が揃っていた場合、攻撃を受けている可能性を確認するためアクセスログの精査も行うことが望ましい。WAFを導入している場合は10月4日(脆弱性情報公開日)以前から攻撃が遮断可能であったかを確認する。

脆弱性の詳細について知りたい

  • 今回パストラバーサル、RCEの脆弱性は10月4日以降に修正された3件の内、CVE-2021-41773、CVE-2021-42013の2つ。CVE-2021-42013はCVE-2021-41773の修正が不十分であったことに起因する脆弱性で、脆弱性の種類、影響は同様。
CVE CVE-2021-41773 CVE-2021-42013
深刻度 Important→Critical*1 Critical
CVSSv3(base) 7.5(JPCERT/CC評価)
種類 パストラーバル→その後 RCEも追加 パストラバーサル、RCE
確認日 2021年9月29日 2021年10月6日
修正版公開 2021年10月4日 2021年10月7日
報告者 Ash Daulton氏
cPanel Security Team
Juan Escobar氏 (Dreamlab Technologies)
Fernando Muñoz氏 (NULL Life CTF Team)
Shungo Kumasaka氏
Nattapon Jongcharoen氏

悪用の動向について知りたい

  • The Apache Software Foundationが修正前に把握していたとする攻撃動向に関しては詳細な情報は公開されていない。
  • 脆弱性情報の公開後はスキャニングなど、脆弱性を突くコードを観測したとする報告国内でも複数確認されている。なお、脆弱性による被害報告は10月10日時点で確認できていない。

公式情報や注意喚起は?

ディストリビューション関連

影響ありとするディストリ(次期リリース除く)は確認できていない。またRHELはCVE-2021-42013の影響を確認中。(10月10日時点)

関連タイムライン

日時 出来事
2021年9月16日 Apache HTTP Server 2.4.49がリリース。
2021年9月29日 脆弱性情報(CVE-2021-41773)がセキュリティチームにレポートされる。
2021年10月1日 脆弱性(CVE-2021-41773)の修正が行われる。(r1893775)
2021年10月4日 脆弱性(CVE-2021-41773)を修正した2.4.50がリリース。
2021年10月6日 脆弱性(CVE-2021-42013)がセキュリティチームにレポートされる。
2021年10月7日 脆弱性(CVE-2021-42013)の修正が行われる。(r1893977, r1893980, r1893982)
同日 脆弱性(CVE-2021-42013)を修正した2.4.51がリリース。

(日付は全て現地時間で記載)

更新履歴

  • 2021年10月10日 AM 新規作成
  • 2021年10月11日 PM CVSSを追記

*1:2.4.50リリース当時より。2.4.51リリースのタイミングで変更されたとみられる。