regreSSHion:OpenSSHの重大な認証不要RCEの脆弱性により、数百万のLinuxシステムが影響受ける恐れ(CVE-2024-6387)
OpenSSHにおける深刻な脆弱性CVE-2024-6387について、Qualysの脅威研究ユニットTRUが報告。「regreSSHion」と名付けられたこの脆弱性により、数百万ものglibcベースのLinuxシステムがリモートコード実行攻撃のリスクに晒される恐れがあるという。
regreSSHion:認証もユーザー操作も不要のRCE(CVE-2024-6387)
今回明らかになった脆弱性regreSSHion(CVE-2024-6387)は、OpenSSHのサーバー(sshd)におけるシグナルハンドラの競合状態で、デフォルト設定のsshdに影響を与えるもの。悪用にユーザー操作は必要なく、認証されていない攻撃者によるrootでのRCEを可能にする恐れがある。「回帰」を意味する英単語「regression」が名前の由来になっている通り、Qualysによれば、この脆弱性は2006年に報告・修正された脆弱性CVE-2006-5051の「回帰バグ」だという。
<影響を受けるOpenSSHバージョン>
- 4.4p1より前のバージョン(CVE-2006-5051およびCVE-2008-4109へのパッチが適用されていたとしても影響を受ける)
- 8.5p1以降、9.8p1より前のバージョン(CVE-2006-5051の再発により影響を受ける。なお9.8p1は脆弱ではない)
※4.4p1以降、8.5p1より前のバージョンに関してはCVE-2024-6387の影響を受けない。9.8p1が修正版としてリリースされている。
<考え得る悪用後のシナリオ>
- 攻撃者によるシステムの完全な乗っ取り
- マルウェアのインストール
- データの改竄
- バックドア設置・永続アクセスの確立
1,400万以上のOpenSSHサーバーインスタンスが脆弱な恐れ
CensysとShodanでの検索結果によると、CVE-2024-6387に脆弱な恐れのあるインターネット接続されたOpenSSHサーバーインスタンスは1,400万超確認されたという。またQualys自身のデータが示すところによれば、インターネット接続された同社顧客のあらゆるインスタンスのうち、31%に相当する700,000ほどのインスタンスが脆弱であることも明らかになっている。
ディープラーニングの進歩が悪用成功率を高める恐れ
Qualysは、リモートの競合状態という性質上、CVE-2024-6387の悪用は難しく、攻撃が成功するまでに複数回の試行が必要になるだろうとした上で、ディープラーニングの進歩により、悪用成功率は格段にアップする可能性があるとも指摘。regreSSHionのようなセキュリティ欠陥を悪用しようとする攻撃者が、ディープラーニング技術の活用によりアドバンテージを手にする恐れがあるとの見解を示した。こうしたテクノロジーの存在ゆえ、できる限り早くこうした脆弱性へ対処することの重要性が一層増している。
regreSSHionリスクに対する緩和策
regreSSHion脆弱性への対策として、Qualysは以下のステップを実施することを推奨している。
- パッチマネージメント:OpenSSH向けのパッチを迅速に適用する。すべてのシステムが確実に保護されるよう、時宜的なアップデートプロセスを優先的に実施する。
- アクセスコントロールの強化:ネットワークベースのコントロールを適用してSSHアクセスを制限し、攻撃リスクを緩和する。
- ネットワークセグメンテーションおよび不正侵入検知:重要環境内での不正アクセスやラテラルムーブメントを防ぐため、ネットワークセグメンテーションを実施する。IDSを導入し、悪用の試みの手がかりとなり得る異常なアクティビティを監視・アラート発出できるようにする。