2024/07/01 SecurityOnline — regreSSHion と命名された深刻なセキュリティ脆弱性について、Qualys Threat Research Unit (TRU) はレポートを公開し、無数の Linux システムにリモート・コード実行の脆弱性が残存していることを明らかにした。この脆弱性 CVE-2024-6387 は、glibc ベースの Linux システム上の OpenSSH のサーバ (sshd) に影響を及ぼすものだ。この脆弱性の悪用に成功した、認証されていない攻撃者は、root アクセス権を取得して影響を受けるマシンの完全な制御を奪う可能性を手にする。
この脆弱性は、OpenSSH のサーバ (sshd) におけるシグナル・ハンドラの競合状態の欠陥に起因し、デフォルト設定の sshd に影響を与える。この脆弱性の悪用に成功した攻撃者は、認証なしのリモート・コードを root として実行し、 影響を受けるシステムを完全にコントロールできるようになる。Qualys は、OpenSSH 8.5p1〜9.8p1 に存在する脆弱性 CVE-2024-6387 について、2006 年に修正された脆弱性 CVE-2006-5051 の再発であるとしている。
Qualys の研究者は、「この OpenSSH の脆弱性は、およそ 20年ぶりに発生したものであり、完全な root アクセスを許可してしまう、認証されていないリモート・コード実行の欠陥である。このバグは、デフォルトのコンフィグレーションに影響し、ユーザーによる操作を必要としないため、重大なエクスプロイト・リスクをもたらす可能性がある」と指摘している。
Censys と Shodan の検索では、脆弱な OpenSSH サーバ・インスタンスが 1,400万以上も検出されており、この脆弱性の影響が広範に及ぶことが示唆されている。
Qualys のデータによると、これらのうち、約 70万件がインターネットに公開されており、同社のグローバルな顧客ベースの、かなりの部分を占めているという。
regreSSHion が悪用されると、壊滅的な結果が生じる可能性がある。悪用に成功した攻撃者は、システムを完全に侵害し、マルウェアのインストール/データの不正操作/永続的なアクセスのためのバックドアの確立などを達成する可能性を手にする。この脆弱性は、ネットワークを通じて伝播し、セキュリティ・メカニズムを迂回することが可能であるため、企業にとっても個人にとっても、危険なものである。
この脆弱性は、競合状態という性質を持っているため、攻撃を成功させるには複数回の試行を必要とする。そのため、悪用は困難であるが、ディープ・ラーニングの進歩により、悪用率が大幅に向上する可能性がある。今回のセキュリティ上の欠陥などを悪用する洗練された方法が、それらの新たな技術により、攻撃者に提供される可能性があるため、タイムリーな緩和が極めて重要になる。
regreSSHion の影響を受けるユーザー企業は、この脆弱性に対処するために、集中的かつ重層的なセキュリティ・アプローチを採用すべきである:
- パッチの適用:利用可能な OpenSSH 用のパッチを迅速に適用し、定期的な更新プロセスを優先することで、全てのシステムが確実に保護されるようにする。
- アクセス・コントロールの強化:攻撃リスクを最小化するために、ネットワーク・ベースのコントロールを通じて SSH アクセスを制限する。
- ネットワークのセグメンテーションと侵入検知:ネットワークのセグメンテーションを実施し、クリティカルな環境内での不正アクセスや横の動きを制限する。さらに、侵入検知システムを導入し、悪用の兆候を示す異常な活動を監視して警告する。
脆弱性 CVE-2024-6387 の技術詳細については、Qualys が提供する公式ドキュメントで確認できる。
かなり大変な出来事であり、さまざまな情報が飛び交っていることです。文中でも、およそ 20年ぶりに発生した深刻な状況と説明されています。速やかにパッチを適用し、状況に注意を払うしか、他に方法はなさそうです。ご利用のチームは、十分に ご注意ください。よろしければ、OpenSSH で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.