Apache HTTP web server 遭發現已大規模用於駭侵攻擊的嚴重 0-day 資安漏洞，可能有超過十萬台網頁伺服器曝露於攻擊風險中；Apache 已緊急修復此漏洞。

廣獲全球網站管理者採用的開源網頁伺服器軟體 Apache HTTP web server，日前遭發現已大規模運用於駭侵攻擊的嚴重 0-day 資安漏洞；可能有超過十萬台網頁伺服器曝露於攻擊風險中；Apache 已緊急修復此漏洞。

存有此 0-day 漏洞的 Apache web server 版本為 2.4.49，該漏洞為一種路徑穿越與檔案洩露漏洞；駭侵者可以利用此漏洞來存取指定 root 路徑之外，且未設定為禁止存取的檔案；這可能會造成駭侵者取得網站的各種機密檔案，例如原始碼或 CGI 程式碼等等。

這個 0-day 漏洞據報已遭駭侵者大規模濫用於攻擊活動。據 Shodan 的研究報指出，在整個 Internet 上有超過 112,000 台安裝存有漏洞 Apache web server 的網站，曝露於攻擊風險之中，而這些網站遍布全球各地。

Apache 在發現 CVE-2021-41773 與 CVE-2021-42013 漏洞後，先是緊急推出 Apache HTTP Server 2.4.50，但很快發現這個新版本的修補能力不夠完整，駭侵者還是可透過類似的方法來發動攻擊，取得指定路徑外的檔案；Apache 很快又推出了更新的 Apache HTTP Server 2.4.51 版，以完全解決該漏洞造成的風險。

採用 Apache HTTP Server 的網站管理者，應立即採取行動，將使用中 Apache HTTP Server 的版本，更新至 2.4.51 及其後版本，以避免遭到駭侵者利用此 0-day 漏洞發動攻擊。

• CVE編號：CVE-2021-41773、CVE-2021-42013
• 影響產品/版本：Apache HTTP Server 2.4.49 與 2.4.50
• 解決方案：升級至 Apache HTTP Server 2.4.51 及之後版本

• 參考連結

Apache HTTP Server 2.4 vulnerabilities

https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013

Over 100,000 Apache HTTP Servers Affected by Actively Exploited Zero-Day Flaw

https://www.securityweek.com/over-100000-apache-http-servers-affected-actively-exploited-zero-day-flaw

Apache emergency update fixes incomplete patch for exploited bug

https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug/