注意喚起:Apache HTTP Serverのパストラバーサルの脆弱性をついた攻撃について
2021年10月6日にThe Apache Software FoundationよりApache HTTP Serverのバージョン2.4.49にパストラバーサルの脆弱性が存在することが発表されました。(CVE-2021-41773)
本脆弱性の修正としてバージョン2.4.50が提供されましたが、別のパストラバーサルの脆弱性(CVE-2021-42013)があることが判明し、修正バージョン2.4.51がリリースされました。
今回はこの脆弱性の詳細、攻撃手法とその対策について紹介いたします。
このニュースはこちらよりPDFファイルにてご覧いただくことができます。
1. 概要
2021年10月6日にThe Apache Software FoundationよりApache HTTP Serverのバージョン2.4.49にパストラバーサルの脆弱性が存在することが発表されました。(CVE-2021-41773)
本脆弱性の修正としてバージョン2.4.50が提供されましたが、別のパストラバーサルの脆弱性(CVE-2021-42013)があることが判明し、修正バージョン2.4.51がリリースされました。
今回はこの脆弱性の詳細とパストラバーサル攻撃の手法、対策について紹介いたします。
2. パストラバーサルの攻撃の詳細
パストラバーサル(別名:ディレクトリトラバーサル)とはWebサーバ上のアクセスが許可されていない非公開のファイルにアクセスする攻撃です。WebページはHTMLファイル等のパスをURLの中で指定し、表示します。このときカレントディレクトリからアクセスを許可していないディレクトリをURLの中で指定することで攻撃を試みます。
攻撃の一例として、現在アクセスしているカレントディレクトリから一つ上の階層を表す「../」を指定し、次にアクセスの許可されていない非公開フォルダへの移動を指定した場合、脆弱性のあるシステムを使用しているとファイルにアクセスされてしまう危険性があります。
【図1】パストラバーサル攻撃の一例
3. 攻撃による被害
攻撃が成功した場合、いくつかの被害が考えられます。
・情報漏えい
非公開のファイルが攻撃者に参照されるので、Webサーバ上に個人情報など機密情報がある場合、その情報漏えいの危険性があります。
・データの改ざん
非公開のファイルに不正にアクセスし、データを改ざんされる恐れがあります。公開している自社のWebページの改ざんや、システムの運用に必要なデータが改ざんされることにより、サービスの停止などの危険性があります。
・アカウントの乗っ取り
パストラバーサルの攻撃によりアカウントを管理しているフォルダへアクセスされた場合、ログイン情報を用いてシステムの乗っ取りが行われる可能性があります。
4. Apacheについて
Apache HTTP Serverは世界中で広く使われているWebサーバ・ソフトウェアです。
Apache Software Foundationが提供するソフトウェアは無償で利用可能なオープンソースソフトウェア (OSS) であり、提供のApache HTTP Serverについても同様です。Netcraftの調査によると2021年10月時点で世界におけるWebサイトの約1/4で使用されており、その高いシェアから攻撃者の標的になりやすいと考えられます。
Apacheを始めとしたOSSの魅力は無償で利用可能であるので開発・運用におけるコストの削減が期待できることです。一方でオープンソースであることから、何らかのアクシデントが起きた際、補償やサポートなどを受けることができないことを留意しておく必要があります。
Apacheの脆弱性をついた攻撃については過去に弊社のe-Gateセキュリティニュースで取り上げております。詳細は下記ニュースをご参照ください。
https://www.ssk-kan.co.jp/wp/topics/topics_cat05/?p=11458
5. e-Gateセンターにおける攻撃検知の推移
e-GateセンターではApache HTTP Serverのパストラバーサルの脆弱性をついた攻撃を継続的に検知しています。
下図は本脆弱性が発表されて以降、一週ごとの検知数です。
【図2】e-GateセンターにおけるCVE-2021-41773, CVE-2021-42013の検知
本脆弱性に対する攻撃は発表されて以降増加傾向にあり、引き続き注意が必要です。
6. 攻撃対策
The Apache Software Foundationより本脆弱性を悪用する攻撃を検知していることが発表されており、影響を受けるシステムを利用している場合、速やかな対応が必要です。
・最新アップデートの適用
The Apache Software Foundationより公開されている本脆弱性を修正したバージョンへのアップデートが推奨されます。
-Apache HTTP Server 2.4.51
・入力内容を確認する
パストラバーサル攻撃でよく用いられる「../」といった文字が含まれていないかチェックし含まれていた場合、直接実行されないシステムの構築が攻撃への対策につながります。
・Webサーバ内のファイル名を外部からのパラメータで直接指定できない設計を行う
パストラバーサルは非公開ファイルの名前を外部からパラメータで指定することでアクセスを試みます。従ってそれを防ぐ設計を行うことで、パストラバーサルの根本的な対策となり得ます。
・ファイルへのアクセス制限の管理を行う
Webサーバ内のファイルへのアクセス制限を正しく設定することで、攻撃者が任意のディレクトリのファイルを指定して開こうとしても、そのアクセスを拒否できる可能性があります。
・セキュリティ機器による攻撃通信の監視
WAF(Web Application Firewall)やIPS(侵入防御システム)等のセキュリティ機器により、不審な通信を検知・遮断することも一定の効果が見込めます。
7. e-Gateの監視サービスについて
e-Gateのセキュリティ機器運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行い、通信が攻撃かどうかの分析、判断をして、セキュリティインシデント発生時に適切に対処できるようにすることが重要です。e-Gateのセキュリティ監視サービスをご活用いただきますと、迅速なセキュリティインシデント対応が可能となります。
また、e-Gateの脆弱性診断サービスでは、お客様のシステムにて潜在する脆弱性を診断し、検出されたリスクへの対策をご提案させていただいております。
監視サービスや脆弱性診断サービスをご活用いただきますと、セキュリティインシデントの発生を予防、また発生時にも迅速な対処が可能なため、対策コストや被害を抑えることができます。
■総合セキュリティサービス 「e-Gate」
SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきた「IT運用のノウハウ」と最新のメソッドで構築した「次世代SOC“e-Gateセンター”」。この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの“e-Gate”サービスです。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】
https://www.ssk-kan.co.jp/wp/e-gate/
8. 参考情報
・JPCERT/CC
Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210043.html 
・IPA
更新:Apache HTTP Server の脆弱性対策について(CVE-2021-41773, CVE-2021-42013)
https://www.ipa.go.jp/security/ciadr/vul/alert20211006.html
安全なウェブサイトの作り方 – 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_3.html
・Netcraft
October 2021 Web Server Survey
https://news.netcraft.com/archives/2021/10/15/october-2021-web-server-survey.html
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp