「Apache HTTP Server」のゼロデイ脆弱性、国内でも攻撃を観測

ウェブサーバ「Apache HTTP Server」にゼロデイ脆弱性「CVE-2021-41773」が明らかとなった問題で、国内でも攻撃が観測された。セキュリティ関係者が広く注意を呼びかけている。

問題の脆弱性「CVE-2021-41773」は、パストラバーサルの脆弱性。ドキュメントルート外のファイルでも、明示的にアクセス制限を行っていないと漏洩するおそれがある。9月16日にリリースされた「同2.4.49」で生じたもので、同バージョンのみ影響を受ける。

脆弱性公開当初より悪用の報告があったが、その後実証コードも複数公開されており、JPCERTコーディネーションセンターや情報処理推進機構（IPA）などセキュリティ機関では、脆弱性が修正された「同2.4.50」へ更新するよう利用者へ注意を喚起した。

Tenableは、脆弱性検索エンジンの「Shodan」に脆弱なバージョンで動作するサーバが11万1940件登録されていたことを報告。バージョン情報を公開していないケースも多いことから、さらに多くのサーバが影響を受ける可能性があると指摘した。実証コードも公開されており、すぐに実用的な悪用コードが出回ると見て警戒を強めている。

実際にBad Packetsでは、カナダやドイツ、インド、ルクセンブルグ、オランダ、シンガポール、イギリス、米国などを発信元として、脆弱なサーバを探索する大量のアクセスがあったことを明らかにした。

クラウド型ウェブアプリケーションファイアウォール（WAF）を運用するセキュアスカイ・テクノロジーにおいても、日本時間10月6日午前中の時点で100サイトにおいて120件以上の攻撃を観測しているという。

（Security NEXT - 2021/10/07 ） ツイート

PR

関連記事

前月の更新で「Bamboo」「Jira」など脆弱性14件を修正 - Atlassian
シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
アイ・オー製NAS管理アプリに権限昇格の脆弱性
コンテナ保護基盤「NeuVector」に複数脆弱性 - 「クリティカル」も
GitLab、アップデートを公開 - 脆弱性7件を解消
「BIND 9」にキャッシュポイズニングなど複数脆弱性
端末管理製品「LANSCOPE」の脆弱性狙う攻撃に注意喚起 - 米当局
ZohoのAD管理支援ツールに脆弱性 - アップデートで修正
脆弱性狙われる「Oracle EBS」、定例パッチでさらなる修正
Oracle、定例パッチを公開 - 脆弱性のべ374件を修正