Apache HTTP 서버 내 CVE-2021-40438 취약점을 악용한 공격 주의

 

Experts warn of attacks exploiting CVE-2021-40438 flaw in Apache HTTP Server

 

공격자들이 최근 수정된 Apache HTTP 서버에 존재하는 서버 측 요청 위조(SSRF) 취약점인 CVE-2021-40438을 악용하고 있는 것으로 나타났습니다.

 

CVE-2021-40438 취약점은 mod_proxy 모듈이 활성화된 httpd 웹 서버에서 악용될 수 있습니다. 공격자는 모듈이 임의 원본 서버로 요청을 전달하도록 특수하게 조작된 요청을 사용하여 해당 이슈를 촉발시킬 수 있습니다.

 

해당 취약점은 9월 중순 버전 2.4.49에서 패치되었으며, 버전 2.4.48 및 이전 버전에 영향을 미칩니다.

 

버전 2.4.49의 패치 노트에서는 아래와 같이 설명되었습니다.

 

"작성된 요청 uri-path로 인해 mod_proxy가 원격 사용자가 선택한 원본 서버로 요청을 전달할 수 있습니다."

 

취약점이 공개된 이후 CVE-2021-40438에 대한 여러 PoC 익스플로잇 또한 공개되었습니다.

 

독일 연방 정보 보안국(BSI)과 Cisco의 전문가들도 이 취약점을 악용하려 시도하는 현재 진행 중인 공격에 대해 경고하고 있습니다.

 

Cisco는 보안 권고를 게시해 해당 문제가 제품에 미치는 영향을 조사하고 있음을 고객에 알렸습니다. 이 문제는 Prime Collaboration Provisioning, Security Manager, Expressway 시리즈, TelePresence VCS(Video Communication Server) 제품에 영향을 미칩니다. 하지만 이들은 아직도 ​​제품 라인을 조사하는 중이라 밝혔습니다.

 

CISCO는 보안 권고를 발행하여 아래와 같이 밝혔습니다.

 

"2021년 11월, Cisco PSIRT는 CVE ID CVE-2021-40438로 등록된 취약점이 악용되고 있다는 것을 알게 되었습니다."

 

독일의 BSI 또한 이 취약점에 대한 경고를 게시했으며, 이 취약점을 실제로 악용하는 공격이 한 건 이상 발생했다고 밝혔습니다.

 

“BSI는 공격자가 해당 취약점을 악용하여 피해자 시스템에서 사용자 크리덴셜의 해시 값을 얻어낸 공격 최소 한 건을 발견했습니다. 이 취약점은 Apache HTTP Server 2.4.48의 모든 버전 및 이전 버전에 영향을 미칩니다."

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125107/hacking/cve-2021-40438-apache-http-server-attacks.html

https://httpd.apache.org/security/vulnerabilities_24.html#2.4.49

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-httpd-2.4.49-VWL69sWQ

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-270312-10F2.pdf