Detect CVE-2021-41773: Path Traversal Zero-Day in Apache HTTP Server

先週、セキュリティ研究者はApache HTTP Serverに影響を与える深刻なセキュリティホールを特定しました。この欠陥（CVE-2021-41773）は、パス・トラバーサル攻撃を介して、許可されていない敵対者がWebサーバーに保存された機密データにアクセスすることを可能にします。この脆弱性は2021年10月5日にパッチが提供されたにもかかわらず、野外で大規模に悪用されるハッカーの注目を即座に集めました。

CVE-2021-41773 説明

Apache HTTP Server v.2.4.49のリリースに伴い、パス正規化の設定が変更された後にこの脆弱性は発生しました。その結果、Apache HTTP Serverはパス・トラバーサル攻撃にさらされ、ハッカーが期待されるドキュメントルート外のファイルにURLをマッピングすることが可能になりました。攻撃者は特定のリクエストを送ることで、バックエンドまたは敏感なサーバーディレクトリにジャンプすることができます。通常、これらのファイルは許可されていない者にとっては手の届かないものですが、この欠陥はURLのためにエンコードされた文字（ASCII）を活用して保護およびフィルタを回避する方法を提供します。Apacheアドバイザリ によると、CVE-2021-41773はCGIスクリプトのような解釈されたファイルのソースリークを招く可能性もあります。 that CVE-2021-41773 may also lead to the leakage of the source of interpreted files like CGI scripts.

この脆弱性を攻撃者が悪用する唯一の制限は、対象のApache HTTP Server 2.4.49が「require all denied」アクセスコントロール設定をオフにしていることです。 しかし、これは通常のデフォルト設定です。

現在、Shodan検索 によれば 10万を超えるApache HTTP Server v.2.4.49のインストールがオンラインで露出しており、その大多数は脆弱であると予想されています。

CVE-2021-41773 検出と緩和策

野外での大規模な悪用を考慮し、管理者はできるだけ早くソフトウェアをアップグレードすることを推奨します。この脆弱性の修正とアドバイザリは、2021年10月5日にApacheによって緊急にリリースされました。

CVE-2021-41773ゼロデイに関連する悪意のある活動を検出するには、SOC Primeプラットフォームで利用可能な無料のSigmaルールをダウンロードできます。

CVE-2021-41773 悪用試行

検出は以下のSIEMセキュリティアナリティクスプラットフォーム向けに翻訳されています：Azure Sentinel、ELK Stack、Chronicle Security、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Securonix。

また、このルールはMITRE ATT&CKメソドロジーにマッピングされ、初期アクセスの戦術と公に面したアプリケーションの悪用技法（t1190）に対処します。

カスタムユースケースを解決し、脅威の発見を強化し、シングルコスト効率解決法でハンティング機能を合理化する方法をお探しですか？ 脅威検出の体験をより迅速でシンプルでインテリジェントにすることを目的とした、全てのセキュリティニーズに対応するSOC Primeのプラットフォームを探索してください。私たちのクラウドソーシングイニシアチブに参加してコンテンツ貢献者の一員になりたいですか？業界初のThreat Bounty Programで始めましょう！

プラットフォームに行く Threat Bountyに参加する