DEVCORE의 오렌지 차이와 함께 선제적으로 Apache httpd 보안 개선하기
편집 및 추가 설명: 트리샤 하워드(Tricia Howard)
핵심 요약
Akamai 연구원들은 저명한 보안 연구원인 오렌지 차이(Orange Tsai) 및 DEVCORE와 협력하여 Akamai App & API Protector 고객을 위해 Apache CVE에 대한 조기 수정 사항을 발표했습니다.
차이는 Black Hat USA 2024 에서 리서치 결과를 발표하고 최근 패치된 여러 Apache HTTP 서버(httpd) 취약점에 관한 세부 사항을 설명했습니다.
Black Hat 발표에 앞서 Akamai SIG(Security Intelligence Group)는 고객을 위한 선제적 방어에 필요한 기술 세부 정보를 공유하기 위해 차이에게 적극적으로 연락했습니다.
자동 모드를 사용하는 App & API Protector 고객은 기존 보안 기능과 업데이트된 보안 기능을 모두 사용할 수 있습니다.
서론
Apache HTTP 서버(httpd)는 인터넷 초창기부터 트래픽이 많이 발생하는 웹 서버였습니다. 이렇게 널리 사용되는 엔티티에서 취약점이 발견되면 이를 반드시 해결해야 하는 것은 당연한 일입니다.
DEVCORE의 보안 연구원인 오렌지 차이는 httpd 내에서 Filename 혼동, DocumentRoot 혼동, Handler 혼동의 세 가지 혼동 공격 경로를 발견했습니다. Apache 내의 일부 모듈은 r->filename 을 파일 경로뿐 아니라 URL로 취급합니다.
그러한 예 중 하나인 RewriteRule이 본 리서치의 중요한 구성요소로, 원격 코드 실행(RCE)을 달성하거나 감염된 서버의 모든 파일에 접속하는 등 심각한 결과를 초래할 수 있습니다.
Akamai + DEVCORE 협업
차이는 몇 가지 기본 요소와 이를 악용할 수 있는 방법에 대한 철저한 분석 을 포함한 리서치를 Black Hat USA 2024에서 처음 발표했습니다. Akamai SIG는 적극적으로 차이와 DEVCORE 팀에 연락해 협업을 진행했고, 그 결과 Akamai App & API Protector 고객을 선제적으로 보호할 수 있게 되었습니다.
Akamai는 요청부터 블로그 게시까지 이번 협업의 모든 측면에서 신뢰와 협력 의지, 참여를 보여준 오렌지 차이와 DEVCORE 팀에 감사의 말씀을 전합니다.
영향받은 CVE
다음 취약점 은 차이가 발견하고 Apache HTTP 서버 프로젝트팀에 책임 있게 공개되었습니다. CVE 하나는 httpd 버전 2.4.59에서 수정되었습니다. 나머지는 httpd 버전 2.4.60에서 수정되었습니다.
CVE-2024-38472 - Windows UNC SSRF의 Apache HTTP 서버
CVE-2024-39573 - Apache HTTP 서버: mod_rewrite 프록시 핸들러 대체
CVE-2024-38477 - Apache HTTP 서버: 악성 요청을 통해 mod_proxy에서 서비스 거부를 초래하는 충돌
CVE-2024-38476 - Apache HTTP 서버가 내부 리다이렉션을 통해 악용 가능한 또는 악성 백엔드 애플리케이션 아웃풋을 사용해 로컬 핸들러를 실행할 수 있음
CVE-2024-38475 - 대체의 첫 번째 세그먼트가 파일시스템 경로와 일치할 때 mod_rewrite의 Apache HTTP 서버 취약점
CVE-2024-38474 - 역참조에서 인코딩된 물음표가 있는 Apache HTTP 서버 취약점
CVE-2024-38473 - Apache HTTP 서버 프록시 인코딩 문제
CVE-2023-38709 - Apache HTTP 서버: HTTP 응답 분할
App & API Protector를 통한 방어
자동 모드에서 Akamai Adaptive Security Engine 을 사용하고 웹 프로토콜 및 웹 플랫폼 공격 그룹을 거부 모드로 설정한 고객은 이러한 취약점으로부터 자동으로 보호됩니다.
수동 모드에서 Adaptive Security Engine을 사용하는 고객은 거부 모드에서 웹 프로토콜 및 웹 플랫폼 공격 그룹 또는 다음 개별 룰이 있는지 확인해야 합니다.
951910 v6 - HTTP 응답 분할 공격(헤더 인젝션)
3000950 v1 - Apache httpd 서버 악용 시도 탐지(CVE-2024-38475, CVE-2024-38474)
Akamai Adaptive Security Engine은 이미 이러한 취약점 중 다수에 대한 보안 기능을 제공하고 있습니다. 하지만 오렌지 차이가 공유한 정보를 바탕으로 Akamai는 고객에게 이러한 위협에 대한 완벽한 보안을 제공하기 위해 룰 3000950을 발표했습니다.
방어 레이어 추가
가장 효과적인 방어는 벤더사가 제공한 패치를 즉시 적용하는 것입니다. 하지만 보안팀이 취약한 소프트웨어를 식별하고 안전하게 패치하는 데 필요한 시간과 노력에 많은 부담을 느끼고 있으며, 애플리케이션과 유동적인 환경의 증가로 인해 이 작업이 더 어려워지고 있다는 것을 잘 알고 있습니다.
심층 방어 전략은 끊임없이 증가하는 위협으로부터 기업의 자산을 보호하는 데 있어 여전히 중요합니다. 공격자들은 공격 툴세트에 공개 개념 증명(PoC)을 빠르게 통합하기 때문에 보안팀 직원의 어려움이 가중됩니다.
Akamai App & API Protector와 같은 웹 애플리케이션 방화벽을 구축하면 방어 레이어를 추가하고 새로 발견된 CVE를 방어하며 보안 버퍼를 추가로 제공할 수 있습니다.
감사의 메시지
Akamai와 협력해 Apache httpd 웹 서버를 실행하는 Akamai 고객에게 미치는 부정적인 영향을 최소화할 수 있게 해 준 오렌지 차이와 DEVCORE 팀에 감사드립니다. 또한, 차이의 보안 커뮤니티에 대한 지속적인 기여에도 감사드립니다.
Akamai는 방대한 양의 중요 웹사이트를 보호할 수 있도록 향후 새로운 웹 취약점 세부 정보를 공개할 때 전체 보안 연구원 커뮤니티가 협력해 주기를 바랍니다.