Apache httpdの脆弱性“CVE-2021-42013”の発見と報告 – IIJ セキュリティオペレーションセンター

2021年10月08日 金曜日


【この記事を書いた人】
くまさか

セキュリティオペレーションセンター と セキュリティ情報統括室 に所属。システム開発者(極) を目指すプログラマ としての活動と、セキュリティアナリストとして活動をしています。うさぎさんのぬいぐるみが相棒

「Apache httpdの脆弱性“CVE-2021-42013”の発見と報告 – IIJ セキュリティオペレーションセンター」のイメージ

こんにちは、アナリストの くまさか です。
私は、IIJ セキュリティオペレーションセンター(以下、SOC) で、内製ツール開発や運用(過去記事: IIJ内製調査システム CHAGE のご紹介) の他に、アナリストとして脆弱性の調査/検証も行っています。

本日は、SOCのアナリストとして私が報告した、CVE-2021-42013の簡単な紹介と、本報告に関係するSOCの活動について紹介させていただきます。

CVE-2021-42013について

CVE-2021-42013は、Apache HTTP Server 2.4.49及び2.4.50に存在するパストラバーサルの脆弱性です。
Apache HTTP Serverは多くの方がご存知の通り、世界シェアの高いHTTPサーバです。
そのようなApache HTTP Serverに対して、HTTPリクエストを送信できれば攻撃が可能なパストラバーサルの脆弱性が、CVE-2021-42013です。

攻撃が成功すると、以下のようにHTTPサーバで公開していない情報の取得が可能です。

Apache HTTP Server 2.4.50で攻撃が成功する様子

攻撃の詳細や、関係する脆弱性であるCVE-2021-41773 については、wizSafe Security Signalの記事 : Apache HTTP Server 2.4.50におけるパストラバーサル脆弱性(CVE-2021-42013)の発見 にて紹介しています。

IIJ SOC 脆弱性検証業務環境の紹介

CVE-2021-42013は、筆者が所属する解析チームの業務で発見しました。 解析チームでは主に、お客様からお預かりした検体への解析業務や、独自の調査方法で取得した検体の解析業務を行っています。

主な業務の他に、脅威情報の蓄積を目的として、さまざまな業務を行っています。
そのうちの一つとして、脆弱性検証業務tohu(筆者による命名)があります。
tohuは、to huntから来ており、「さまざまな攻撃を検出したい」「新しい攻撃を見つけたい」といった思いが詰め込まれています。
なお、tohuは、tofuではなく、tohuですが、like a 豆腐です。

tohuでは、状態に依存しない再現可能な検証を行うことをモットーとしています。そのため、tohuでは一切スナップショットをとりません。
状態を再現するのにはスナップショットが有効ですが、異なる環境であっても安定して再現ができることを確認するためには、状態の保存は邪魔になります。
低コストに環境を再構築できる仕組み、それがtohuです。
具体的には、AutomatedLabや、Docker ComposeAnsible などを組み合わせ、コーダブル管理で脆弱性検証環境の再現や検証、蓄積を行います。
この管理方法によって、Windowsのドメインコントローラ、HTTPサーバ、メールサーバ、DNSサーバそれぞれが必要な環境であっても、再構築に30分とかからない構成を実現しています。

今回簡単に紹介させていただいたCVE-2021-42013の環境も、tohu上で今すぐ再現が可能です。
Enterキーを押して、コーヒーを入れて戻って来れば、検証が可能です。

また、tohuでは、tohu以外の環境へ共通フォーマットにて、検証環境の展開が可能となるよう準備を進めています。
一部既に実現できており、他チームへ環境を含めた共有を実現しています。
そして、このような連携の実現から、CVE-2021-42013の対応では、Apacheの修正版リリースよりも数日早く、弊社SOCのSIEM(ログなどを分析してサイバー攻撃の兆候を検出するシステム)へルールを適用しています。

タイムライン

日時(日本時間) 内容
10/06 11:50
攻撃手法の発見
10/06 12:22
チーム内、再現確認の実施
10/06 12:57
オペレーションセンター内への共有。各種セキュリティ機器での検知確認
10/06 13:21
Apacheへの報告
10/06 20:51
SIEMへの登録と並行して、各種セキュリティ機器への独自シグネチャ検証開始
10/08 00:17
Apacheの修正版リリース(参考: https://dlcdn.apache.org/httpd/のタイムスタンプ)

おわりに

いかがでしょうか。なお、今回の採番は、CVE-2021-41773のお溢れのようであると感じております。
しかし、有効な攻撃方法であったことも事実です。そのため、あえて自慢っぽくいうと「10/6からApache 2.4.51のリリース日である10/8まで、本件を守れた日本企業は弊社SOCだけ」と言えることでしょう。

冗談はさておき、本件にかかわらず、今後とも、既知/未知問わず調査を継続し、弊社SOC独自の検知手法として取り込む、そして適切に開発元と共有する戦いは続きます。
引き続き、弊社SOCの活動をよろしくお願いします。

あとちなみに、私は絹派です。そのため、プロジェクトロゴは、絹どうふを手書きしています。

実際にプロジェクトで使われているロゴ

関連リンク

くまさか

2021年10月08日 金曜日

セキュリティオペレーションセンター と セキュリティ情報統括室 に所属。システム開発者(極) を目指すプログラマ としての活動と、セキュリティアナリストとして活動をしています。うさぎさんのぬいぐるみが相棒

Related
関連記事