X

クラウドコンピューティングが必要ですか? 今すぐ始める

Akamai logo
+1-8774252624
+1-8774252624
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
製品トライアル
サイバー脅威にお困りの方
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する

DEVCORE の Orange Tsai 氏とともに、Apache httpd 保護をプロアクティブに強化

Akamai Wave Blue

執筆者

Ryan Barnett and Sam Tinklenberg

August 08, 2024

Ryan Barnett

執筆者

Ryan Barnett

Ryan Barnet は、App and API Protector セキュリティソリューションをサポートしている Akamai 脅威リサーチチームの Principal Security Researcher です。Akamai での主な業務に加えて、WASC Board Member やWeb ハッキング・インシデント・データベース(WHID)と分散型 Web ハニーポットに関する OWASP プロジェクトリーダーも務めています。また、Black Hat など、セキュリティ業界のカンファレンスでも頻繁に講演しています。また、Web セキュリティに関する著書として、『Preventing Web Attacks with Apache』(Pearson)と『Web Application Defender’s Cookbook:Battling Hackers and Defending Users』(Wiley)があります。

Sam Tinklenberg

執筆者

Sam Tinklenberg

Sam Tinklenberg は、Akamai の Apps & API Threat Research Group の Senior Security Researcher です。Web アプリケーション侵入テストを行ってきた経歴を有し、重大な脆弱性の発見と保護に熱心に取り組んでいます。Web アプリケーションの破壊が趣味というわけではなく、ビデオゲームやボードゲームを楽しんだり、外出したり、友人や家族と時間を過ごしたりしています。

編集・協力:Tricia Howard

Akamai SIG は事前に Tsai 氏に連絡を取り、Akamai App & API Protector のお客様をいち早く保護しました。
Akamai SIG は事前に Tsai 氏に連絡を取り、Akamai App & API Protector のお客様をいち早く保護しました。

エグゼクティブサマリー

  • 著名なセキュリティ研究者である Orange Tsai 氏 と DEVCORE とのコラボレーションを通じて Akamai の研究者は Apache CVE に対する早期リリース修正を発行し、 Akamai App & API Protector のお客様を保護しました。

  • Tsai 氏は、自身の調査結果について Black Hat USA 2024 で発表し、最近パッチを適用された多くの Apache HTTP Server(httpd)における脆弱性について詳細を説明しました。

  • Black Hat で発表される前に、Akamai Security Intelligence Group(SIG)は事前に Tsai 氏に連絡を取って手法の詳細情報の共有を図り、事前対応型の防御をお客様に提供しました。

  • 自動モードになっている App & API Protector のお客様は、既存の保護機能と更新された保護機能を利用できます。

X(旧 Twitter)で Akamai をフォロー

概要

Apache HTTP Server(httpd)は、インターネットの草創期から高トラフィックな Web サーバーとして利用されています。これほどユビキタスな存在に脆弱性が見つかった場合、対処が必須であることは言うまでもありません。

DEVCORE のセキュリティ研究者である Orange Tsai 氏は、httpd 内に 3 種類の混乱攻撃パスを発見しました。ファイル名の混乱documentRoot 混乱、そしてハンドラーの混乱です。Apache 内の一部のモジュールでは r->filename が ファイルパスとしてだけでなく URL として扱われるのです。

その一例が RewriteRuleであり、この調査の重要な要素となります。リモートコード実行(RCE)の達成や、サーバー侵害によるファイルへのアクセスと同様に、深刻な影響をもたらす可能性があります。

Akamai と DEVCORE のコラボレーション

Tsai 氏が最初に発表した調査結果には、複数のプリミティブと、それらが悪用される可能性に関する 徹底的な分析が 含まれていました。この発表は Black Hat USA 2024で行われました。Akamai SIG は Tsai 氏と DEVCORE チームに事前に連絡してコラボレーションを図り、Akamai App & API Protector のお客様をいち早く保護できました。

Orange Tsai 氏と DEVCORE チームの信頼と積極的な協力、そして依頼からブログでの発表に至るまで、今回のコラボレーションへの全面的な参画について、感謝いたします。

影響を受ける CVE

以下の 脆弱性 が Tsai 氏によって発見され、責任を持って Apache HTTP Server Project チームに開示されました。そのうち、1 つの CVE は httpd バージョン 2.4.59 で修正されました。その他の CVE は httpd バージョン 2.4.60 で修正されました。 

  • CVE-2024-38472 — Windows UNC SSRF 上の Apache HTTP Server

  • CVE-2024-39573 — Apache HTTP Server:mod_rewrite プロキシハンドラー置換

  • CVE-2024-38477 — Apache HTTP Server:クラッシュにより、悪性のリクエストを介して mod_proxy でサービス妨害が発生

  • CVE-2024-38476 — Apache HTTP Server は、悪用される可能性がある、または悪性のバックエンドアプリケーションの出力を使用して、内部リダイレクトを介してローカルハンドラーを実行

  • CVE-2024-38475 — mod_rewrite における Apache HTTP Server の脆弱性で、置換の最初のセグメントがファイルシステムパスと一致するときに発生

  • CVE-2024-38474 — バックリファレンスにエンコードされた疑問符が含まれる際に見られる Apache HTTP Server の脆弱性

  • CVE-2024-38473 — Apache HTTP Server プロキシエンコーディングの問題

  • CVE-2023-38709 — Apache HTTP Server:HTTP レスポンス分割

App & API Protector による緩和

Akamai Adaptive Security Engine を自動モードで使用していて、Web Protocol と Web Platform の攻撃グループを Deny モードにしているお客様は、自動的にこれらの脆弱性から保護されます。

Adaptive Security Engine を手動モードで使用しているお客様は、Web Protocol と Web Platform の攻撃グループまたは以下の個別ルールが Deny モードになっていることを確認する必要があります。

  • 951910 v6 — HTTP レスポンス分割攻撃(ヘッダーインジェクション)

  • 3000950 v1 — Apache httpd Server エクスプロイト試行を検知(CVE-2024-38475、CVE-2024-38474)

Akamai Adaptive Security Engine は、こうした脆弱性の多くに対してすでに保護を提供しています。しかしながら、Orange Tsai 氏が提供する情報に基づいて当社はルール 3000950 をリリースし、これらの脅威に対する完全な保護をお客様に提供しています。

防御レイヤーの追加

最も効果的な防御策はベンダーから提供されたパッチを速やかに適用することであることは、今後も変わりません。とはいえ、セキュリティチームが脆弱なソフトウェアを特定して安全にパッチを適用するのに必要な時間と労力は大きな負担であり、しかもアプリケーションが増え、環境の流動性が高まる中でこうした作業がさらに厄介なものになっていることを、Akamai は理解しています。

かつてないほど増加している脅威から組織の資産を保護するためには、今後も多層防御戦略が不可欠です。攻撃者は公開された概念実証をすばやく攻撃ツールセットに組み込むため、防御者にとっての課題が増加しています。 

Web アプリケーションファイアウォール、たとえば Akamai App & API Protector を実装することで、防御レイヤーが追加され、新たに発見された CVE に対する防御と追加のセキュリティバッファーがもたらされます。

謝辞

Akamai と提携し、Apache httpd Web サーバーを実行している Akamai のお客様への悪影響防止を可能にしてくれた Orange Tsai 氏と DEVCORE チームに感謝申し上げます。また、セキュリティコミュニティに対する同氏の継続的な貢献にも感謝いたします。 

重要な Web サイトを多数保護している Akamai も、新しい Web 脆弱性の詳細が開示される際には、セキュリティ研究者のコミュニティ全体に対して今後もコラボレーションを依頼していきます。

ご不明な点がございましたら、ご連絡ください!
Akamai Wave Blue

執筆者

Ryan Barnett and Sam Tinklenberg

August 08, 2024

Ryan Barnett

執筆者

Ryan Barnett

Ryan Barnet は、App and API Protector セキュリティソリューションをサポートしている Akamai 脅威リサーチチームの Principal Security Researcher です。Akamai での主な業務に加えて、WASC Board Member やWeb ハッキング・インシデント・データベース(WHID)と分散型 Web ハニーポットに関する OWASP プロジェクトリーダーも務めています。また、Black Hat など、セキュリティ業界のカンファレンスでも頻繁に講演しています。また、Web セキュリティに関する著書として、『Preventing Web Attacks with Apache』(Pearson)と『Web Application Defender’s Cookbook:Battling Hackers and Defending Users』(Wiley)があります。

Sam Tinklenberg

執筆者

Sam Tinklenberg

Sam Tinklenberg は、Akamai の Apps & API Threat Research Group の Senior Security Researcher です。Web アプリケーション侵入テストを行ってきた経歴を有し、重大な脆弱性の発見と保護に熱心に取り組んでいます。Web アプリケーションの破壊が趣味というわけではなく、ビデオゲームやボードゲームを楽しんだり、外出したり、友人や家族と時間を過ごしたりしています。

関連ブログ記事

Akamai の研究者である Stiv Kupchik が、Microsoft の Remote Registry クライアントに新しい権限昇格(EOP)の脆弱性があることを発見しました。
Akamai の研究者である Stiv Kupchik が、Microsoft の Remote Registry クライアントに新しい権限昇格(EOP)の脆弱性があることを発見しました。

呼び出しと登録 — WinReg RPC クライアントに対するリレー攻撃

October 19, 2024
Akamai の研究者たちが、新たな脆弱性を発見しました。この脆弱性は、悪用されると Windows マシンへの権限昇格攻撃に繋がります。
by Stiv Kupchik
続きを読む
今回の起訴は、インターネットの安全性向上に向けた大きな一歩です。
今回の起訴は、インターネットの安全性向上に向けた大きな一歩です。

アノニマス・スーダンの起訴:Akamai の役割

October 16, 2024
司法省は、アノニマス・スーダンの起訴を発表しました。Akamai がこの取り組みをどのように支援したのか、ご確認ください。
by Akamai SIRT
続きを読む
今月は 60 種類のコンポーネントに関する計 117 件の CVE があります。重大な脆弱性は、そのうち 3 件です。
今月は 60 種類のコンポーネントに関する計 117 件の CVE があります。重大な脆弱性は、そのうち 3 件です。

2024 年 10 月の Patch Tuesday に関する Akamai の見解

October 11, 2024
多くの CVE がありますが、怖れることはありません。怖がるのはハロウィンまで取っておきましょう。 今月は計 117 件の CVE があり、2 つの脆弱性が野放し状態で悪用されていました。
by Akamai Security Intelligence Group
続きを読む