Apache Software Foundationは、「Apache HTTP Server」を始めとしたWebサーバを運用する上で欠かせないソフトウェアを数多く提供しています。その一方で、Apache関連のソフトウェアの脆弱性が多数発見されており、国内でもIPAやJPCERT/CCからたびたび注意喚起が行われています。今回はそれらの脆弱性の詳細と対策について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

このニュースはこちらよりPDFファイルにてご覧いただくことができます。


 

1. 概要

 Apache Software Foundationは、「Apache HTTP Server」を始めとしたWebサーバを運用する上で欠かせないソフトウェアを数多く提供しています。
 その一方で、Apache関連のソフトウェアの脆弱性が多数発見されており、国内でもIPA(情報処理推進機構)やJPCERTコーディネーションセンターからたびたび注意喚起が行われています。「脆弱性対策情報の公開に伴う悪用増加」はIPAが毎年発表している「情報セキュリティ10大脅威」でも2020年の14位から2021年は10位に上昇しており、注意が必要な脅威の1つです。
 2021年1月には早くもJPCERTより「Apache Tomcat」の脆弱性に関する注意喚起が行われています。また、2020年末以降、e-GateセンターでもApache関連のソフトウェアの脆弱性を狙った攻撃の増加を検知しております。
 今回はそれらの脆弱性の詳細と対策についてご紹介いたします。

 

2. Apache のシェアと利用のリスクについて

 Apache Software Foundation が提供するソフトウェアは無償で利用可能なオープンソースソフトウェア (OSS) であ り、その長い歴史から信頼性も高く、また稼働する OS を問わない利便性が特徴です。このことから Apache 関連のソフトウ ェアは世界中で利用されており、実際に Apache HTTP Server は Netcraft の調査によれば 2021 年 1 月時点で世 界における Web サーバの約 1/4 を占めています。その高いシェアゆえに悪意ある攻撃者のターゲットとなりやすいソフトウェア であるとも言えます。
 Apache 関連ソフトウェアの脆弱性の過去事例としては、2020 年に「Apache Tomcat」(以下 Tomcat)の脆弱 性・通称「Ghostcat」(CVE-2020-1938) が明らかとなっており、多数の PoC コード(実証コード)が公開され、容易に 攻撃可能な状況となったことから問題となっています。
 また、Java の Web アプリケーションを作成するためのフレームワーク「Apache Struts 2」(以下 Struts2)の脆弱性 について、過去に弊社の e-Gate セキュリティニュースで取り上げております。詳細は下記ニュースをご参照ください。
 https://www.ssk-kan.co.jp/topics/topics_cat05/?p=9257

  

3. e-Gate センターにおける Apache 関連の攻撃イベントの傾向

 e-Gate センターでは Apache 関連ソフトウェアの脆弱性をついた攻撃の増加を観測しております。特に 2020 年 12 月 以降においてその数は前月の 4 倍以上まで急増しており、今後も攻撃の増加が予想されます。 攻撃の傾向としては、先に挙げた Tomcat や Struts2 に加え、「Apache Solr」(以下 Solr)の脆弱性を狙った攻撃 が多数を占めております。

2021_2_secnews1.png

図 1 e-Gate センターにおける Apache 関連の攻撃イベント数の推移(2020 年 7 月を 100%として算出)

 

4. 「Apache Tomcat」脆弱性 (CVE-2021-24122) の詳細 

 Tomcat は Java Servlet や JavaServer Pages (JSP) を実行するための Web コンテナ(サーブレットコンテナ)で す。
 Apache HTTP Server が Web サーバとしてテキストや画像などの静的なコンテンツを提供するのに対し、Tomcat は Web サーバ上で Java スクリプトを動作させるために必要な環境を提供し、動的なコンテンツを提供します。Tomcat 自体 にも Web サーバの機能が存在しますが、別の Web サーバと連携させることによりサーブレットコンテナとしての用途に特化さ せることができます。
 2021 年 1 月 15 日に JPCERT より Tomcat の脆弱性 (CVE-2021-24122) について注意喚起が行われています。
 当該脆弱性は NTFS(Windows 系のファイルシステム)を利用してネットワーク上からリソースを提供する場合に発生 します。Java API の File.getCanonicalPath()の予期しない動作によってセキュリティの制約回避や JSP のソースコード の漏洩が発生する可能性があります。
 対象システムは下記のバージョンです。
 ⚫ Apache Tomcat 10.0.0-M1 から 10.0.0-M9
 ⚫ Apache Tomcat 9.0.0.M1 から 9.0.39
 ⚫ Apache Tomcat 8.5.0 から 8.5.59
 ⚫ Apache Tomcat 7.0.0 から 7.0.106

 

5. 「Apache Solr」脆弱性 (CVE-2018-1308) の詳細

 Solr は全文検索エンジンです。
 2018 年に Solr の XML 外部実体攻撃(XXE 攻撃)に対する脆弱性 (CVE-2018-1308) の情報が公開されて いますが、e-Gate センターにおいて検知数が急増している攻撃の 1 つにその脆弱性を突いた攻撃が挙げられます。 XXE 攻撃は特殊な XML 入力を送信することで、任意のローカルファイルの参照や内部ネットワークへのリクエストが可能 になる攻撃手法です。
 対象システムは下記のバージョンです。
 ⚫ Apache Solr 1.2 から 6.6.2
 ⚫ Apache Solr 7.0.0 から 7.2.1

  

6. 対策

 ・最新アップデートの適用
 開発元より公開されている脆弱性を修正したバージョンへのアップデートが推奨されます。 CVE-2021-24122 については、下記のバージョンで当該脆弱性が修正されています。
 ⚫ Apache Tomcat 10.0.0-M10 以降
 ⚫ Apache Tomcat 9.0.40 以降
 ⚫ Apache Tomcat 8.5.60 以降
 ⚫ Apache Tomcat 7.0.107 以降
 CVE-2018-1308 については、下記のバージョンで当該脆弱性が修正されています。
 ⚫ Apache Solr 6.6.3 以降
 ⚫ Apache Solr 7.3.0 以降
 ・セキュリティ機器による攻撃通信の監視
 Firewall や IPS(侵入防御システム)等のセキュリティ機器により、不審な通信を検知・遮断することも一定の効果が 見込めます。

 

7. 参考

 ・Netcraft
  January 2021 Web Server Survey
  https://news.netcraft.com/archives/2021/01/28/january-2021-web-server-survey.html
 ・IPA
  情報セキュリティ 10 大脅威 2021
  https://www.ipa.go.jp/security/vuln/10threats2021.html
  Apache Tomcat における脆弱性(CVE-2020-1938)について
  https://www.ipa.go.jp/security/ciadr/vul/alert20200225.html
 ・JPCERT/CC
  Apache Tomcat の脆弱性(CVE-2021-24122)に関する注意喚起
  https://www.jpcert.or.jp/at/2021/at210002.html
 ・JVN
  Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
  https://jvn.jp/vu/JVNVU96136392/
  Apache Solr における XML 外部エンティティの脆弱性
  https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-004003.html

 

8. e-Gateの監視サービスについて

 e-Gateのセキュリティ機器運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行い、通信が攻撃かどうかの分析、判断をして、セキュリティインシデント発生時に適切に対処できるようにすることが重要です。e-Gateのセキュリティ監視サービスをご活用いただきますと、迅速なセキュリティインシデント対応が可能となります。
 また、e-Gateの脆弱性診断サービスでは、お客様のシステムにて潜在する脆弱性を診断し、検出されたリスクへの対策をご提案させていただいております。
 監視サービスや脆弱性診断サービスをご活用いただきますと、セキュリティインシデントの発生を予防、また発生時にも迅速な対処が可能なため、対策コストや被害を抑えることができます。

 ■ 総合セキュリティサービス 「e-Gate」

 SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきた「IT運用のノウハウ」と最新のメソッドで構築した「次世代SOC"e-Gateセンター"」。この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"サービスです。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】
https://www.ssk-kan.co.jp/e-gate/

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
       FAX 03-5464-9977
       sales@ssk-kan.co.jp