IR 情報

お問い合わせ

BLOG

情報セキュリティ BLOG

Web セキュリティ

2022 年 06 月 28 日

ウェブ関連サービスの脆弱性に注意

Apache HTTP Server 2.4 に複数の脆弱性が存在

Apache HTTP Server は、Web サーバーソフトウェアで、オープンソースソフトウェア(OSS)の開発プロジェクトを運営する非営利団体である「Apache Software Foundation」の支援のもと、開発者のオープンコミュニティによって開発・保守されています。

この Apache HTTP Server 2.4 系に複数の脆弱性が存在することが報告されており、脆弱性を悪用されるとさまざまな影響をおよぼす可能性があります。

Apache HTTP Server 2.4 系における、以下の複数の脆弱性に対応した Apache HTTP Server 2.4.54 がすでに公開されています。開発者が提供する情報をもとに常に最新版にアップデートすることが必要です。

Apache HTTP Server 2.4 の脆弱性による想定される影響は

脆弱性で攻撃者によって、影響を受ける可能性がある内容は以下のとおりです。

リクエストを AJP サーバーに転送される CVE-2022-26377
境界外読み取りが行われる CVE-2022-28330
意図しないメモリを読み取られる CVE-2022-28614
サーバーのクラッシュや情報の窃取が行われる CVE-2022-28615
サービス運用妨害(DoS)状態にされる CVE-2022-29404
CVE-2022-30522
情報が窃取される CVE-2022-30556
IP ベースの認証を回避される CVE-2022-31813

(出典)JPCERT/CC「Apache HTTP Server 2.4 における複数の脆弱性に対するアップデート

OpenSSL に複数の脆弱性が存在

OpenSSL に脆弱性が存在することが、2022 年 5 月と 6 月に相次いで報告されました。脆弱性に対応した OpenSSL 1.1.1p、OpenSSL 3.0.4 がすでに公開されています。開発者が提供する情報をもとに常に最新版にアップデートすることが必要です。
OpenSSL の脆弱性に関する最新情報については、OpenSSL Project で確認することができます。

なお、影響を受けるシステムは以下のとおりです。

  • OpenSSL 1.0.2zf より前のバージョン
  • OpenSSL 1.1.1p より前のバージョン
  • OpenSSL 3.0.4 より前のバージョン

OpenSSL の脆弱性による想定される影響は

脆弱性によって、影響を受ける可能性がある内容は以下のとおりです。

c_rehash スクリプトは、一部のオペレーティングシステムでは自動的に実行されるため、このようなオペレーティングシステムでは第三者によってスクリプトの実行権限で任意のコマンドを実行される可能性があります。

(出典)JPCERT/CC「OpenSSL の c_rehash スクリプトにおけるコマンドインジェクションの脆弱性

OpenSSL における脆弱性については、これまでも幾度となくその存在が報告され、そのたびに対応に追われたサーバー管理者や運営者も多かったのではないかと思います。
OpenSSL の脆弱性の代表例としては、「Heartbleed」「POODLE」が、この 2 つの脆弱性は 2014 年に発覚したもので、当時大きなニュースとなりました。

Heartbleed(ハートブリード)は、オープンソースの暗号ソフトウェアであります「OpenSSL」の脆弱性で、この脆弱性が悪用された場合、システムのメモリ内の情報が第三者に閲覧され、SSL 暗号化通信の内容や秘密鍵などの重要情報が漏洩する可能性がありました。そしてこの脆弱性は、拡張プログラムである「Heartbeat」のバグであることから、Heartbleed という名称が付けられました。

POODLE は SSL 3.0 に存在する深刻な脆弱性で、この脆弱性を悪用した場合、パスワードやクッキーにアクセスが可能となり、Web サイト上のユーザーの個人情報を盗める可能性がありました。

Google Chrome に重大な脆弱性、早期アップデートを

米国 CICA(米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁)は、2022 年 6 月 10 日(米国時間)Google Chrome に複数の脆弱性が存在することを伝えました 。これらの脆弱性を悪用されると攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があります。すでに Google より最新版が提供されていますので、早期にアップデートすることが必要です。この脆弱性に関する情報については、Chrome Release:Stable Channel Update for Desktop をご参照ください。

脆弱性への対処方法は?

"BLOG:Apache Log4j の事例から学ぶ脆弱性対策 " で解説していますが、恒久的な対応方法というものは残念ながら存在しません。また、すべてのソフトウェアに脆弱性が発生しないと保障することができません。利用するサービスやシステムに、どのようなソフトウェア、ミドルウェアやライブラリなどが使用されているかを日頃から管理し、脆弱性の存在が発見された場合には、一刻も早く最新版にアップデートすることが必要不可欠です。
また、"BLOG:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)に対処するためには?" で解説していますが、修正プログラム公開前を狙ったゼロデイ攻撃によってランサムウェア攻撃の被害事例もあることから、ウイルス対策、不正アクセス対策などの多層防御に加えて、脆弱性対策が特に重要となります。

脆弱性の対策には、脆弱性の見える化を実現する脆弱性管理ソリューション MIRACLE Vul Hammer と統合監視ツール MIRACLE ZBX を連携して、このようなサイバー攻撃に対応することができます。ゼロデイ攻撃には、迅速かつ適切な脆弱性対策が必要なため、検討していただきたいソリューションです。

本記事に関連するリンク
あなたの会社の情報セキュリティ チェックリスト : サイバートラスト 情報セキュリティコンサルティングサービス
Web アプリ開発企業向け 情報セキュリティ対応度チェックリスト : サイバートラスト 脆弱性診断サービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS