1400万台以上の「OpenSSH」サーバーに影響する脆弱性が見つかる

今回は「1400万台以上の「OpenSSH」サーバーに影響する脆弱性が見つかる」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「SSH」鍵をしっかりと管理してほしい。「Linux」のセキュアなリモートアクセス基盤である「OpenSSH」に深刻な脆弱性が発見され、ベテランのシステム管理者が冷や汗をかく事態となっている。

 「regreSSHion」とも呼ばれるこの厄介な脆弱性「CVE-2024-6387」は、「glibc」ベースのLinuxシステムで動いているOpenSSHサーバーで、認証されていないリモートコード実行(RCE)を可能にする。しかも、ちょっとした特権昇格を可能にするのではなく、完全なルートアクセス権限をやすやすと取得できるようにするという。

 Linuxを長く使ってきた人にとっては、既視感を覚える状況だろう。この脆弱性は、2006年にパッチが適用された「CVE-2006-5051」のリグレッション(回帰)だ。このかつての敵がどういうわけか、2020年10月に「OpenSSH 8.5p1」のコードに再び侵入していた。

 だがありがたいことに、セキュリティベンダーQualysの脅威調査部門が、OpenSSHというクローゼットの中からこの亡霊のようなバグを見つけ出した。とはいえ、この脆弱性はデフォルト構成に影響を及ぼすため、悪用するのにユーザーの操作は必要ない。つまり、セキュリティ担当者を夜も眠れない状況に陥らせるというわけだ。

 この欠陥の潜在的な影響は、いくら強調してもしすぎることはない。OpenSSHは、Linuxや「macOS」といった「UNIX」系システムでセキュアなリモートアクセスやファイル転送を行うための、事実上の標準ソフトウェアだ。世界中のシステム管理者や開発者にとって、セキュアな通信を実現するための万能ナイフとなっている。

 幸いなのは、すべてのLinuxディストリビューションにこの脆弱なコードが含まれているわけではないことだ。「4.4p1」より前のバージョンのOpenSSHは、CVE-2006-5051と「CVE-2008-4109」向けのパッチが適用されている限り、シグナルハンドラーの競合状態を引き起こすこの脆弱性の影響は受けない。

 また、4.4p1以上で「8.5p1」より前のバージョンも、この脆弱性の影響を受けない。だが、8.5p1以上で「9.8p1」より前のバージョンでは、重要なコンポーネントが誤って削除されたため、この脆弱性の影響を受ける可能性が再び浮上している。

 Qualysは、潜在的に脆弱なOpenSSHサーバーのインターネットインスタンスを1400万台以上発見した。また、これらの外部インターネット接続インスタンスのうち、およそ70万台が確実に脆弱な状態だと、同社は分析している。

 なお、この脆弱性が修正された「OpenSSH 9.8/9.8p1」はすでに公開されており、すべてではないものの、多くのLinuxディストリビューションで利用できる。利用できる場合は、できるだけ早くインストールしよう。

 何らかの理由でインストールできない場合は、「sshd」設定ファイル(デフォルトでは、/etc/ssh/sshd_config内に存在)で「LoginGraceTime」を「0」に設定して、regreSSHionの脆弱性からサーバーを保護することを検討してほしい。ただし、この設定は完璧な解決策ではなく、悪用を阻止できるものの、システムがサービス拒否(DoS)攻撃に見舞われるリスクをもたらす。

 そのため、ネットワークベースの制御を利用してサーバーへのSSHアクセスを制限し、潜在的な攻撃ベクトルを制限しよう。この種の攻撃を仕掛けるには多くの労力が必要になるため、ファイアウォールやネットワーク監視ツールを設定して、この脆弱性の悪用に必要な大量の接続を検出し、ブロックする必要がある。

 最後に、OpenSSHのパッチがリリースされていないか常に確認しよう。まもなく公開されるはずだ。公開されたら、できるだけ早く適用してほしい。

 こうした対策を講じることで、regreSSHionのセキュリティホールを狙われる可能性を大きく減らせる。システム管理者は、対策しておいて正解だったと感じることになるだろう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
AIの社会実装と活用の推進、必要とされる会社に–ソフトバンク・宮川社長
IT関連
2025-01-09 08:18
Amazon、楽天、ヤフーなどが国の規制対象に 出店者向けの相談窓口も設置
企業・業界動向
2021-04-02 04:54
小さな企業でも突然のシステム障害に迅速に対処できるようにするStackPulseが29億円調達
ネットサービス
2021-01-21 15:05
富士通、関節可動域を自動測定する「HOPE ROMREC」発売–病院などのリハビリを支援
IT関連
2021-03-01 08:24
「うんこ交通安全ドリル」登場 交通安全協会推薦 スマホで学べるWebサイトも
くらテク
2021-04-07 12:00
「YouTube Kids」卒業の子供向け監視付きYouTubeアカウントサービス始動
アプリ・Web
2021-02-26 13:17
ホログラムがヘルスケア分野の未来にもたらすもの–シスコが見据えるイノベーション
IT関連
2022-03-19 17:24
バンダイナムコが注力する「IP軸戦略」とグループ横断のデータ分析組織とは
IT関連
2023-11-07 09:39
Microsoft、MRプラットホーム「Microsoft Mesh」発表 マルチデバイス対応アプリ開発を目指す :Microsoft Ignite 2021
製品動向
2021-03-04 20:59
ロケット史上最高の事前契約数を記録したRelativity Spaceが米国防総省と初打ち上げ契約を締結
宇宙
2021-03-17 11:37
神戸大など、国内初のセキュアクラウドによる高精細映像伝送を実証
IT関連
2022-01-21 10:33
空気清浄機で戦うシューティングゲーム、シャープが公開 「プラズマクラスター」をPR
アプリ・Web
2021-08-03 11:30
ビジネスとデータの“出会いの場”実現を目指す–MCデジタル・リアルティ畠山社長
IT関連
2025-01-09 11:48
NTTとKDDI、テレワーク・ITスキル研修を無償提供 資格取得や就職を支援
キャリア・しごと
2021-02-17 09:00