Apache HTTP 서버의 경로 이동 제로데이 CVE-2021-41773 탐지

지난주 보안 연구원들은 Apache HTTP Server에 영향을 미치는 심각한 보안 결함을 식별했습니다. 이 결함(CVE-2021-41773)은 무단 적이 경로 탐색 공격을 통해 웹 서버에 저장된 민감 데이터를 액세스할 수 있도록 합니다. 이 취약점은 2021년 10월 5일에 패치가 배포되었음에도 불구하고 대규모로 악용되어 해커들의 즉각적인 관심을 끌었습니다.

CVE-2021-41773 설명

이 취약점은 Apache HTTP Server v. 2.4.49가 출시되면서 경로 정규화 설정이 변경된 후 발생했습니다. 그 결과 Apache HTTP 서버는 경로 탐색 공격에 노출되어 해커들이 예상된 문서 루트 외부의 파일로 URL을 매핑할 수 있게 되었습니다. 위협 행위자는 특정 요청을 보내 백엔드 또는 민감한 서버 디렉터리에 접근할 수 있었습니다. 일반적으로 이러한 파일은 무단 접근자에게는 접근할 수 없지만, 결함은 URL에 대한 인코딩된 문자(ASCII)를 활용하여 보호 및 필터를 우회할 수 있는 방법을 제공합니다. Apache 권고안은 세부사항을 설명하며 CVE-2021-41773이 CGI 스크립트와 같은 해석된 파일의 소스 누출로 이어질 수 있다고 명시했습니다.

이 취약점을 악용하기 위한 공격자의 유일한 제한은 타겟 Apache HTTP Server 2.4.49가 “require all denied” 액세스 제어 설정이 꺼져 있어야 한다는 점입니다. 그러나 이는 일반적으로 기본 설정입니다.

현재 Shodan 검색은 10만 개 이상의 Apache HTTP Server v.2.4.49 설치가 온라인에 노출되어 있으며, 대부분이 취약할 것으로 예상된다고 지적합니다.

CVE-2021-41773 탐지 및 완화

대규모 야생 악용을 고려하여, 관리자들은 가능한 한 빨리 소프트웨어를 업그레이드할 것을 권장합니다. 이 취약점에 대한 수정 및 권고안은 Apache에 의해 2021년 10월 5일 긴급히 배포되었습니다.

CVE-2021-41773 제로데이와 관련된 악성 활동을 탐지하기 위해, SOC Prime 플랫폼에서 무료로 제공되는 Sigma 규칙을 다운로드할 수 있습니다.

CVE-2021-41773 악용 시도

탐지는 다음 SIEM 보안 분석 플랫폼에 대한 번역이 있습니다: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

또한, 이 규칙은 초기 접근 전략 및 공공 애플리케이션 공격 기법(t1190)을 다루는 MITRE ATT&CK 방법론에 매핑되어 있습니다.

맞춤형 사용 사례를 해결하고, 위협 발견을 향상시키며, 단일 비용 효율적인 솔루션으로 사냥 능력을 간소화할 방법을 찾고 계신가요? 새롭게 출시된 SOC Prime의 플랫폼을 탐색해보세요. 이는 단일 공간에서 모든 보안 니즈를 충족하며 위협 탐지 경험을 더 빠르고, 더 간단하고, 더 지능적으로 만들어 줍니다. 크라우드소싱 이니셔티브에 참여하여 콘텐츠 기고자가 되어보시겠습니까? 업계 최초의 Threat Bounty Program을 통해 시작해보세요!

플랫폼으로 이동 Threat Bounty 참여하기