【CVE-2024-38475】Apache HTTP Serverに深刻な情報漏洩の脆弱性

【CVE-2024-38475】は、Apache HTTP Serverにおけるmod_rewriteモジュールの処理に存在する脆弱性です。脆弱性を悪用されると、サーバー上の機密ファイルが外部からアクセス可能となり、情報漏洩やコード実行といった重大な被害に繋がる恐れがあります。

主にApache HTTP Server 2.4.0から2.4.59で確認されており、影響が疑われる場合は早急な対処が求められます。

本記事では、【CVE-2024-38475】の概要や深刻度、影響範囲、技術的な内容、想定されるリスク、そして推奨される対策について、分かりやすく解説します。

【CVE-2024-38475】概要

Apache HTTP Serverは、Apache License2.0の条件でリリースされる自由でオープンソースのクロスプラットフォームWebサーバソフトウェアです。

Apache HTTP Serverに含まれるmod_rewriteモジュールは、リクエストされたURLを書き換えるための機能ですが、その一部の処理において入力値の取り扱いが不適切であることが確認されました。

この脆弱性により、特定の条件下でバックリファレンスや環境変数などが適切に処理されず、意図しないファイルパスにアクセスされてしまう危険性があります。

出典：NVD

【CVE-2024-38475】CVSSによる深刻度

• CVSS3.1 基本スコア 9.1 Critical
• CVSSベクトル AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
• CISA KEV Known Exploited Vulnerabilities 登録済（既に悪用が確認されている脆弱性）

脆弱性により、特定のRewriteルールを設定している場合に攻撃者が意図しないファイルパスへアクセスできる可能性があります。たとえば、アクセス制限されたファイルや機密ファイルが露出する恐れがあり、深刻な情報漏洩につながります。

出典：CVEdetails

【CVE-2024-38475】影響を受けるシステム

本脆弱性の影響を受けるのは、以下のバージョンです。

• Apache HTTP Server 2.4.0から2.4.59（※2.4.60にて修正済）
• 一部のNetApp製品（ONTAP 9系）にも影響あり

mod_rewriteを使用しているWebサイトやアプリケーション、特に.htaccessを多用するWordPressやCMS系のシステムは注意が必要です。

＞＞【CVE-2024-25600】WordPressのBricks Builderに存在する脆弱性

出典：CVEdetails

【CVE-2024-38475】技術的な詳細

この脆弱性は、mod_rewriteによるURLの書き換え処理において、置換文字列の先頭に変数やバックリファレンス（例：$1, %{ENV_VAR}など）を指定した場合、適切にエスケープ処理が行われず、結果としてファイルシステム上の意図しない場所にアクセスが可能となる、という問題です。

例えば、攻撃者が細工したURLを通して.envやconfig.phpといった機密ファイルを読み取れる可能性があります。

出典：NVD

【CVE-2024-38475】脆弱性がもたらすリスク

この脆弱性によって発生し得る主なリスクは以下の通りです。

• ソースコードや設定ファイルの漏洩
  env, config.php, .htpasswd など、外部に漏れるべきでないファイルの流出
• 認証情報やAPIキーの窃取
  漏洩した情報を足がかりにさらなる侵害に発展する可能性
• リモートコード実行（RCE）
  特定の構成において読み取られたファイルを通じてコードが実行されるケース

また、CISAのKEVに登録されていることから、すでに実際の攻撃に使われている可能性が高いと見られています。

出典：Centripetal

出典：NVD

出典：sisa.gov

【CVE-2024-38475】ベンダーおよびアドバイザリ情報

本脆弱性に関する各ベンダーの対応状況は以下の通りです。

Apache Software Foundation

• Apache HTTP Server 2.4.60 にて本脆弱性を修正済み。
• mod_rewrite における置換処理の不備を解消する修正が含まれています。
• 管理者は最新版へのアップデートを最優先で実施することが推奨されます。

出典：Apache Software Foundation

NetApp

NVD（米国国家脆弱性データベース）の「Known Affected Software Configurations」には、cpe:2.3:a:netapp:ontap_9:-:::::::* という記載があり、NetApp ONTAP 9 系が本脆弱性の影響を受ける可能性があることが明示されています。

さらに、NVDの「References」欄には、NetAppが公開した公式アドバイザリ「July 2024 Apache HTTP Server Vulnerabilities in NetApp Products」へのリンクも含まれており、アドバイザリでは、影響を受ける製品の一覧や修正版のリリース状況が案内されています。

そのため、ONTAP 9 系を運用している場合は、必ずNetApp公式アドバイザリを確認し、該当する修正版へのアップデートを行うことが推奨されます。

出典：NVD

出典：NetApp公式アドバイザリ

Ubuntu

Ubuntu 20.04 LTS、22.04 LTS などの主要ディストリビューションに対しては、Apache HTTP Server 2.4.60 がセキュリティアップデートとして既に提供されており、システムを最新状態に保ち、適用可能にするコマンドが「sudo apt update && sudo apt upgrade」とよばれるコマンドです。

特に LTS（長期サポート版）環境を運用している場合は、脆弱性悪用のリスクを避けるためにも、早急にアップデートを適用することが推奨されます。

出典：Ubuntu Security Notice

Debian

• Debian bullseye、bookworm の両リリース向けにセキュリティアップデートが提供済み。
• 「apt-get upgrade」 で修正済みパッケージを適用可能。
• 長期運用環境で Apache を利用している管理者は、パッケージ更新状況を確認することが推奨されます。

出典：Debian Security Tracker

【CVE-2024-38475】対策・緩和策

この脆弱性は既に悪用が確認されているため、影響を受ける環境では迅速な対応が不可欠です。ここでは、推奨される根本的な対策と、アップグレードが難しい場合に取れる一時的な緩和策について整理します。

推奨される対策

Apache HTTP Serverを2.4.60以降へアップグレードすることが最も効果的な対策です。アップグレードによって、mod_rewriteモジュールにおける脆弱性の原因となる処理が修正されます。

出典：Apache Software Foundation

一時的な緩和策

• UnsafePrefixStat off を設定し、置換処理の安全性を確保する。
• .htaccess内のルールを確認し、先頭に変数・バックリファレンスを使った記述を見直す。

出典：NVD

もし既に不審なアクセスや情報漏洩の兆候がある場合は、フォレンジック調査を実施することが推奨されます。調査によって「どの範囲まで侵害が及んでいるのか」「攻撃経路は何か」を正確に把握しなければ、二次被害を防ぐことはできません。

被害が疑われる際には、速やかにセキュリティ専門業者へ相談することを強くおすすめします。

編集部おすすめ調査会社：デジタルデータフォレンジック(おすすめ度)

情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。

こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です

相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。