OpenSSHに重大な脅威となる脆弱性「regreSSHion」(CVE-2024-6387)が発覚、ほぼすべてのLinuxシステムに影響
セキュリティ企業・Qualysの脅威調査ユニット(TRU)の研究者たちが、GNU Cライブラリ(glibc)に依存するLinuxにおけるOpenSSHサーバーの重大なセキュリティ脆弱(ぜいじゃく)性を発見しました。この脆弱性は「regreSSHion」と名付けられ、認証なしのリモートからroot権限で任意コード実行が可能となる重大な脅威です。
regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog
qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
openssh.com/txt/release-9.8
https://www.openssh.com/txt/release-9.8
'Critical' vulnerability in OpenSSH uncovered, affects almost all Linux systems
https://www.computing.co.uk/news/4329906/critical-vulnerability-openssh-uncovered-affects-linux-systems
OpenSSHは、SSHプロトコルに基づくセキュアなネットワークのユーティリティスイートで、強力な暗号化によりプライバシーとセキュアなファイル転送を確保するため、リモートサーバー管理とセキュアなデータ通信に不可欠なツールとなっています。OpenSSHは広範なセキュリティと認証機能で知られ、さまざまな暗号化テクノロジをサポートし、macOSやLinuxを含む複数のUNIX系システムの標準となっています。
regreSSHionは、OpenSSHサーバー(sshd)に存在する脆弱性およびエクスプロイトで、「CVE-2024-6387」が割り当てられています。具体的には、sshdのシグナルハンドラーの競合状態(race condition)が問題となっています。
この脆弱性が悪用された場合、攻撃者は最高権限で任意のコードを実行し、システムの完全な乗っ取り、マルウェアのインストール、データ操作、バックドアの作成など、システムの完全な侵害につながる可能性があります。
さらに、ルートアクセスを得ることで、攻撃者はファイアウォールや侵入検知システムなどをバイパスできるようになり、攻撃者の活動がさらに不明瞭になります。攻撃者はシステムに保存されているすべてのデータにアクセスできるようになるため、重大なデータ侵害につながる可能性があります。
Qualysによると、今回のCVE-2024-6387は2006年に修正された脆弱性「CVE-2006-5051」の回帰であるとのこと。つまり、いったん修正された脆弱性がその後のソフトウェアリリースで再び現れてしまったというわけです。
CVE-2024-6378の影響を受けるバージョンは、2006年9月にリリースされたバージョン4.4p1より前、あるいは2021年3月リリースのバージョン8.5p1から9.8p1までとなっています。Qualysによると、世界中のOpenSSHサーバーの31%が脆弱な状態であり、ShodanやCensysで検索すると脆弱なOpenSSHサーバーが1400万件以上存在することがわかったとのこと。なお、OpenBSDは影響を受けません。
OpenSSHの開発チームは、32bit Linux環境でアドレス空間配置のランダム化を有効化し、実証実験を行っています。その結果、エクスプロイトによる悪用が可能になるまで平均で6〜8時間の連続した接続が必要だったと報告しています。これは、CVE-2024-6378がシグナルハンドラの競合状態に存在しているためで、Qualysも「実際にコード実行を行うには複数回の試行が必要で、悪用するのは困難だろう」と論じました。
OpenSSHの開発チームはすでに脆弱性を修正したバージョン9.8p1をリリース済み。Qualysは、もしOpenSSHを更新あるいは再コンパイルできない場合は、構成ファイルで「LoginGraceTime」の項目を0に設定すれば脅威の影響を軽減できるとしています。
Qualysは、重大な脅威から身を守るため、「OpenSSHのパッチを迅速に適用する」「ネットワークベースの制御を通じてSSHを制限して攻撃のリスクを最小限に抑える」「悪用しようとする異常なアクティビティを監視して警告するシステムを導入する」ことをすすめました。