Apache server version 2.4.50 (CVE-2021-42013)
Advanced Threat Researchチームによる月例のバグレポートのダイジェストをお届けします。2021年10月の最も注目すべき脆弱性と思われるものについて概要を記しました。チーム全員の業界経験値、トータル100年超の力をここに集結させて、CVSSのような単一のスコアリングシステムに頼らない、定性的で経験に基づいた分析をお届けいたします。私たちは、ワームの可能性、ターゲットのユビキタス性、悪用される可能性、インパクトなどの特性に注目しています。では、10月のトップCVEを紹介します。
目次
Apache: CVE-2021-41773, CVE-2021-42013
2 CVES / 1 Vuln – Apacheは最新の致命的な脆弱性に少々てこずったようです。先月のSSRF mod_proxy vulnerabilityでは、初歩的なpath traversal bugの修正にパッチ適用を2 回トライしました。path traversal bugは、権限のないユーザーがWeb サーバー上の予期していないドキュメントルートの外部にあるファイルにアクセスさせてしまいます。しかし、それだけではありません。サーバー上で mod-cgi が有効になっていると、リモートでコードが実行されてしまいます。
対象:
Shodanでざっとスキャンしてみただけで、少なくとも111,000人のサーバー管理者が気にすべきであることがわかりました。Apacheは、実装されているWebサーバーの中で市場のシェアが2位なので、あなたの組織でも使用されている可能性が高いでしょう。情報漏洩については、常に内部と外部向け両方の資産を考慮して調べることが重要です。Apacheは、アプリケーション組み込用のウェブサーバとしても広く使われているので、インストールされたサードパーティのアプリケーションに使用されているかどうかということを確認する必要があります。もし、どこかにインストールしたインスタンスを見落としていたとしたら、脅かすわけではありませんが、「まさに今この瞬間」活発に悪用されています。
対処法:
Microsoft IISを使いましょう。もし、ウェブサーバの実装を完全にあきらめたくなければ、Apache 2.4.51にアップデートすることをお勧めします。両方の脆弱性に対応していないので、バージョン2.4.50は避けることをお勧めします。もし、あなたが賢明なシステム管理者で、Apache documentationどおり、ドキュメントルート以外のすべてのファイルに対して、デフォルトでとても安全な「require all denied」ディレクティブを使用していたら、賞賛に値します。パッチを当てることが強く推奨されていますが、すぐに脆弱になるわけではありません。
模範的な対応:
当社では、gccをソースからコンパイルするよりもパッチを当てる方が難しいケースがあることを認識しており、NSP(Network Security Platform)でpath traversal attacksを検知するという1990年以来の古典的な手を使ってきました。
Win32k Driver: CVE-2021-40449
Windowsマシンのカーネルモジュールのアドレス以外に、無料で使えるものなど存在しません。Microsoft Windows CVE-2021-40449がそれに当たります。この脆弱性は、Win32k ドライバの NtGdiResetDC 関数に存在する「use-after-free」、解放済みメモリの使用です。攻撃者が部分的に権限を上げることができます。
対象:
Microsoft Windowsマシンを使ってこれを読んでいますか?クラウドでMicrosoft Server Editionを使用していますか?ローカルアタックは、優先順位が低く、軽視されがちです。しかし、フィッシング攻撃は初期の侵入経路として依然として高い成功率を誇り、より高いレベルのアクセス権限を得るバグを助長させるということを認識する必要があります。 Kasperskyによると、これはサイバー犯罪者によって活発に悪用されているということですので、LinuxやMacだけを使用しているという企業でもない限り、パッチを当てた方がよいでしょう。
対処法:
Microsoft patch Tuesdayはいまだ有効です。または、FreeBSDのような優れたOSを使うこともできます。
模範的な対応:
最近、McAfee Enterprise ENSの最新バージョンをチェックされたでしょうか。最新のシグネチャを取得していれば、不正行為やサイバー犯罪を検出することが可能です。
Apple iOS: CVE-2021-30883
iOS の「IOMobileFrameBuffer」コンポーネントに 整数オーバーフローの脆弱性があり、アプリケーションがカーネル権限で任意のコードを実行できます。また、この脆弱性はブラウザからもアクセスできることが確認されています。
対象:
Appleのスマートフォンユーザーのシェアは53%と言われているので、統計的に言えば、どの組織も気をつけておくべきです。たった一個の”bad Apple”からネットワーク全体をハッキングできますし、実際に脆弱性が報告されています。脅威は想像より早く広がるかもしれません。
対処法:
各セクションの共通点にお気づきかと思います。そうです、実際に行動に移してください。この記事を読むのをやめて、モバイルデバイスと電源を接続し、Apple iOSの最新バージョンをインストールしましょう。
模範的な対応:
すでに読むのをやめてアップデートを完了しているあなた。正解です。
※本ページの内容は2021年11月2日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: The Bug Report – October Edition
著者: Douglas McKee