「Apache HTTP Server」に脆弱性 専門家がパッチ適用を“強く推奨”の理由：発生し得る攻撃の詳細と対策

「Apache HTTP Server」の脆弱性を悪用する攻撃を観測したという発表を受け、セキュリティ専門家は、利用者に対してパッチの適用を強く推奨している。その理由とは。

[Shaun Nichols，TechTarget]

　2021年10月4日（現地時間）、Apache Software FoundationはWebサーバソフトウェア「Apache HTTP Server」の脆弱（ぜいじゃく）性「CVE-2021-41773」の存在を公開し、パッチを提供した。セキュリティツールベンダーcPanelのセキュリティチームに所属するアッシュ・ドールトン氏がこのCVE-2021-41773を発見し、Apache Software Foundationに報告した。

　CVE-2021-41773は、攻撃者が許可なくデータの保管場所を見ることができるようになる「パストラバーサル」（Path Traversal）攻撃を可能にする。この脆弱性を悪用すると、標的サーバに任意のプログラムを遠隔実行させる「リモートコード実行」により、攻撃者が標的サーバを完全に制御できるようになる恐れがある。

　既にCVE-2021-41773を悪用する攻撃が発生していたことが明らかになっている。専門家はApache HTTP Serverのユーザー企業にアップデートの実施を強く推奨している。Apache HTTP Serverをバージョン2.4.50にアップデートすることで、CVE-2021-41773を修正できる。

併せて読みたいお薦め記事

さまざまな脆弱性

• セキュリティ研究家が“怒り”の公開　Apple「iOS」3つの脆弱性とは
• 「Exchange」の“設計上のミス”が招いた情報漏えいとは？
• 無料SSLサーバ証明書発行のLet's Encryptに脆弱性　犯罪者が悪用する“穴”とは？

パッチ適用を急がなければいけない理由

　米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2021年10月6日（現地時間）に勧告を発表。Apache HTTP Serverバージョン2.4.50へのアップデートを推奨した。同時にCVE-2021-41773を悪用する攻撃が発生していることについて注意喚起した。

　CVE-2021-41773が最初に報告される前に、CVE-2021-41773を悪用した攻撃がどれだけ発生していたのかは分かっていない。攻撃をモニタリングしているグループによると、CVE-2021-41773を悪用して脆弱なサーバを探し、攻撃を試みる活動が発生している。セキュリティ調査企業Bad Packetsの最高研究責任者を務めるトロイ・マーシュ氏によると、CVE-2021-41773を悪用した攻撃に関する話題が広がった2021年10月5日（現地時間）夜以降、この脆弱性を悪用する攻撃活動が同社のモニタリングするネットワーク内で急増した。

　Bad Packetsの観測では、「/bin/sh」を介したリモートコード実行を介するロシアのIPアドレスからの攻撃もあったという。/bin/shは「Linux」のシェル（基本的なユーザーインタフェース）の実行ファイルを指すパスだ。「この攻撃には注意が必要だ」とマーシュ氏は警告する。CVE-2021-41773に関する注意喚起では、この脆弱性がリモートコード実行を引き起こす可能性を明言していなかったと同氏は指摘。リモートコード実行の危険があるとすれば、パッチを至急適用する重要性がはるかに高まるという。

　Apache HTTP Serverのような重要プログラムをアップデートのために停止することは、システムダウンタイムを回避したい企業にとって難題だ。サーバ管理者がパッチを適用するタイミングを先送りにしていると、インターネットに接続している大量のサーバが危険にさらされたままになる可能性がある。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。