概要
Apache HTTP Server は、パストラバーサルの脆弱性(CVE-2021-41773)が発見されたことを受け、 2021年10月4日(現地時間)に当該脆弱性を修正したバージョンである2.4.50 をリリース。 しかし、バージョン2.4.50 では、修正が不十分であることが公表され、 2021年10月7日(現地時間)に、修正が不十分であった箇所を修正したバージョン2.4.51 がリリースされた。
本事案を受けて、当該脆弱性への対応としてバージョンアップを実施した機器の割合の推移を追ってみた。
集計方法
集計は以下の方法で行った。
- 集計に利用したサービス:Shodan
- 集計期間:2021/10/6(木)~2021/10/10(日) (日本時間)
- 集計対象:以下のApacheバージョンに該当する機器を「全世界」および「日本」の2パターンで集計
- Apache 2.4.49
- Apache 2.4.50
- Apache 2.4.51
なお、この集計は実際に脆弱性の影響を受ける機器を全て洗い出しているものではなく、 以下のような条件の機器は集計から漏れる、もしくは集計に含まれてしまう。
- 集計から漏れる機器
- バージョン情報を公開していない機器
- 集計に含まれる機器
- WAFなどのセキュリティ製品により、当該脆弱性を悪用した攻撃から保護されている機器
- Apacheの設定「require all denied」が有効であり、脆弱性の影響を受けない機器
- バージョン情報を偽って公開している機器 (例えば実際はIISを動かしているが、バージョン情報をApache 2.4.49 と偽って公開している場合など)
また、バージョンアップ以外に下記対策により脆弱性の影響を回避するケースもある。本集計はあくまでバージョンアップにより脆弱性対応した機器にフォーカスしたものであるという事を強調したい。
- WAFなどのセキュリティ製品の導入
- Apacheの設定「require all denied」を有効化
- バージョン情報の削除(脆弱性対応とは言えないが、、)
結果
集計結果を以下に示す。
- 世界
- 10/6(水)の2.4.49 の件数(112,756)と10/10(日)の2.4.49 、2.4.50 、2.4.51 を合計した件数(110,701)が近しいため、バージョンアップの推移をみる情報として利用できると考える。
- 2.4.51 のリリース翌日(10/8(金))で0.8%の機器が、リリース後3日(10/10(日))で約18%の機器がバージョンアップによる適切な脆弱性対応を受けたといえる。
- 不十分な脆弱性対応を含めると10/10(日)時点で、約3割の機器がバージョンアップによる脆弱性対応を受けたといえる。
- 10/8(木)以降、1日あたりの2.4.50 と2.4.51 を合計した増加数が、平日・土日の区別なく約1万件程度であった。
- 日本
- 10/6(水)の2.4.49 の件数(1,436)と10/10(日)の2.4.49 、2.4.50 、2.4.51 を合計した件数(1842)が乖離しており、2.4.50 、2.4.51 の増加がバージョンアップによるものなのか新規構築されたものかが判断できないため、バージョンアップの推移をみる情報として利用するのは難しいと考える。
- 2.4.49 の件数自体は10/6(水)は1436 件、10/10(日)は1350 件と減少しているため、いくらかの機器はバージョンアップが実施されたのではないかと推察できる。
所感
集計方法の項目を書きながら、この分析意味あるのかな?ノイズが多すぎて微妙かな?と思っていたのですが、いくつか発見できたものを書きとめます。
- バージョン2.4.51 リリース後も、修正が不十分であった2.4.50 の機器数が増えていることから、脆弱性情報の収集や伝達が上手くいっていないケースが多いのかなと感じました。脆弱性情報を収集する部署と実際に脆弱性の対応をする部署が別だったりすると、情報が上手く伝達されなかったり、伝達するのに時間を要するので、脆弱性対応部署に2.4.51 の情報が入ってこないまま、2.4.50 にあげていたという運用があったのかもしれません。
- 機器のバージョンアップには平日も土日も関係ない。
- 次回はもうちょいノイズを減らすクエリで集計します。反省。