「Apache HTTP Server」の脆弱性を悪用する攻撃を観測したという発表を受け、セキュリティ専門家は、利用者に対してパッチの適用を強く推奨している。その理由とは。
2021年10月4日(現地時間)、Apache Software FoundationはWebサーバソフトウェア「Apache HTTP Server」の脆弱(ぜいじゃく)性「CVE-2021-41773」の存在を公開し、パッチを提供した。セキュリティツールベンダーcPanelのセキュリティチームに所属するアッシュ・ドールトン氏がこのCVE-2021-41773を発見し、Apache Software Foundationに報告した。
CVE-2021-41773は、攻撃者が許可なくデータの保管場所を見ることができるようになる「パストラバーサル」(Path Traversal)攻撃を可能にする。この脆弱性を悪用すると、標的サーバに任意のプログラムを遠隔実行させる「リモートコード実行」により、攻撃者が標的サーバを完全に制御できるようになる恐れがある。
既にCVE-2021-41773を悪用する攻撃が発生していたことが明らかになっている。専門家はApache HTTP Serverのユーザー企業にアップデートの実施を強く推奨している。Apache HTTP Serverをバージョン2.4.50にアップデートすることで、CVE-2021-41773を修正できる。
米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2021年10月6日(現地時間)に勧告を発表。Apache HTTP Serverバージョン2.4.50へのアップデートを推奨した。同時にCVE-2021-41773を悪用する攻撃が発生していることについて注意喚起した。
CVE-2021-41773が最初に報告される前に、CVE-2021-41773を悪用した攻撃がどれだけ発生していたのかは分かっていない。攻撃をモニタリングしているグループによると、CVE-2021-41773を悪用して脆弱なサーバを探し、攻撃を試みる活動が発生している。セキュリティ調査企業Bad Packetsの最高研究責任者を務めるトロイ・マーシュ氏によると、CVE-2021-41773を悪用した攻撃に関する話題が広がった2021年10月5日(現地時間)夜以降、この脆弱性を悪用する攻撃活動が同社のモニタリングするネットワーク内で急増した。
Bad Packetsの観測では、「/bin/sh」を介したリモートコード実行を介するロシアのIPアドレスからの攻撃もあったという。/bin/shは「Linux」のシェル(基本的なユーザーインタフェース)の実行ファイルを指すパスだ。「この攻撃には注意が必要だ」とマーシュ氏は警告する。CVE-2021-41773に関する注意喚起では、この脆弱性がリモートコード実行を引き起こす可能性を明言していなかったと同氏は指摘。リモートコード実行の危険があるとすれば、パッチを至急適用する重要性がはるかに高まるという。
Apache HTTP Serverのような重要プログラムをアップデートのために停止することは、システムダウンタイムを回避したい企業にとって難題だ。サーバ管理者がパッチを適用するタイミングを先送りにしていると、インターネットに接続している大量のサーバが危険にさらされたままになる可能性がある。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。
昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。
情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...