Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU/Linux Systems Awaiting Full Disclosure
2024/09/23 SecurityOnline — GNU/Linux などの全てのシステムに対して、潜在的な影響を与える重大なセキュリティ脆弱性が、著名なセキュリティ研究家である Simone Margaritelli により発見された。Canonical や Red Hat などの業界大手も存在を認める、認証を必要としないリモート・コード実行 (RCE) の脆弱性 CVE-2024-7589/CVE-2024-38063 は、CVSS スコア 9.9 と評価されている。
Simone Margaritelli は、この脆弱性の存在について3週間ほど前に公表しているが、ユーザーが問題に対処する時間を確保するために、詳細については公開を控えていた。ただし、現在も有効な修正方法は提供されていない。そして研究者と開発者との協議により、以下のように公表のスケジュールが合意された。
- 9月30日:Openwall セキュリティ・メーリングリストを介した情報公開。
- 10月6日:一般に対する、脆弱性の詳細の公開。
興味深いことに、この問題への CVEの割り当て作業には、遅延が発生している。この脆弱性が多面的な性質を持つことから、少なくとも3つの CVE が割り当てられるべきであり、場合によっては6つになる可能性もあると、Margaritelli は見ている。
Canonical と Red Hat は、この脆弱性の深刻度が高いことを認めただけでなく、その影響の評価とパッチの開発に積極的に取り組んでいる。しかし、脆弱性の特定の側面におけるセキュリティ上の影響について、一部の開発者の間で議論が行われているという報告もあり、それが修正プログラムのリリース遅延の一因となっていると推測されている。
個人ユーザーとセキュリティ専門家たちは、この脆弱性の詳細な情報が不足しているため、ともに懸念を強めている。つまり、影響を受けるコンポーネント/機能/バージョンが不明であるため、システムを保護するための事前対策を、ユーザーは講じることができない。
さらに、CVE の割り当てが遅れていることで、セキュリティ研究者/ベンダー/脆弱性リスト作成担当組織間の間において、連携やコミュニケーションに疑問が生じている。
この脆弱性は、CVSS 9.9 (深刻度 Critical) と評価されているが、状況を冷静に判断することが重要だ。 深刻度が高い脆弱性の全てが、現実のシナリオにおいて簡単に悪用できるわけではない。 具体的には、以下のような議論がある。
- CVE-2024-7589:SSH のリモート・コード実行の脆弱性。情報が公開された時点では、CVSS 9.8 と評価されていたが、悪用が困難であることが判明したことで、その後に 8.1 に再評価された。
- CVE-2024-38063:Windows システムのリモート・コード実行の脆弱性。この脆弱性は、CVSS 9.8 と評価されて注目を集めたが、セキュリティ専門家の徹底的な分析の結果、悪用は極めて困難であると判断された。
上記のケースが示すのは、脆弱性の影響を完全に理解するためには、詳細な技術的分析が重要であることだ。
完全な情報の開示とパッチが適用されるまでの間、ユーザーと管理者に推奨されるのは、以下の対策を講じることだ:
- パッチが利用可能になったら、それを迅速に展開するための準備を進める。
- 信頼できるセキュリティ・ニュースや、ベンダーの公式発表をフォローして、最新情報を入手する。
- ファイアウォールや侵入検知システムなどの、既存のセキュリティ対策を見直し、強化する。
静寂性 CVE-2024-7589 と CVE-2024-38063 の存在が特定されても、それらの脅威度に関する議論が収束していないということなのでしょう。よろしければ、2024/08/12 の「FreeBSD OpenSSH の脆弱性 CVE-2024-7589 が FIX」もご参照ください。ちょっと関連するものとして、2024/06/30 の「node-ip の GitHub リポジトリが凍結された:開発者が指摘する CVE 発行フローの問題点とは?」も、興味深い記事です。
IoT OT Security News 
You must be logged in to post a comment.