「Apache HTTP Server」のゼロデイ脆弱性、国内でも攻撃を観測

ウェブサーバ「Apache HTTP Server」にゼロデイ脆弱性「CVE-2021-41773」が明らかとなった問題で、国内でも攻撃が観測された。セキュリティ関係者が広く注意を呼びかけている。

問題の脆弱性「CVE-2021-41773」は、パストラバーサルの脆弱性。ドキュメントルート外のファイルでも、明示的にアクセス制限を行っていないと漏洩するおそれがある。9月16日にリリースされた「同2.4.49」で生じたもので、同バージョンのみ影響を受ける。

脆弱性公開当初より悪用の報告があったが、その後実証コードも複数公開されており、JPCERTコーディネーションセンターや情報処理推進機構（IPA）などセキュリティ機関では、脆弱性が修正された「同2.4.50」へ更新するよう利用者へ注意を喚起した。

Tenableは、脆弱性検索エンジンの「Shodan」に脆弱なバージョンで動作するサーバが11万1940件登録されていたことを報告。バージョン情報を公開していないケースも多いことから、さらに多くのサーバが影響を受ける可能性があると指摘した。実証コードも公開されており、すぐに実用的な悪用コードが出回ると見て警戒を強めている。

実際にBad Packetsでは、カナダやドイツ、インド、ルクセンブルグ、オランダ、シンガポール、イギリス、米国などを発信元として、脆弱なサーバを探索する大量のアクセスがあったことを明らかにした。

クラウド型ウェブアプリケーションファイアウォール（WAF）を運用するセキュアスカイ・テクノロジーにおいても、日本時間10月6日午前中の時点で100サイトにおいて120件以上の攻撃を観測しているという。

（Security NEXT - 2021/10/07 ） ツイート

PR

関連記事

「Apache Roller」にPW変更後もログインセッションが破棄されない脆弱性
リモートアクセス製品「SonicWall SMA100」の既知脆弱性が標的に
「Java SE」にセキュリティアップデート - 脆弱性6件を解消
「Cisco Webex App」に脆弱性 - 不正な招待リンクでコード実行のおそれ
「CVEプログラム」の運用財団が設立 - 米政府契約終了を受け移行か
Windows向け「Horizon Client」に権限昇格の脆弱性 - パッチがリリース
「Chrome」に2件の脆弱性 - 重要度「クリティカル」も
Mozilla、「Firefox 137.0.2」をリリース - 脆弱性1件を解消
既知脆弱性による「FortiOS」侵害の新手法 - 初期経路封じても被害継続
「NATS Server」の一部APIに深刻な脆弱性 - アップデートを