認証なしでリモートコード実行 OpenSSHに“回帰”した脆弱性「regreSSHion」発覚
ITmedia NEWS / 2024年7月3日 8時0分
![認証なしでリモートコード実行 OpenSSHに“回帰”した脆弱性「regreSSHion」発覚](https://media.image.infoseek.co.jp/isnews/photos/itmedia_news/itmedia_news_20240702184_0-small.jpg)
セキュリティベンダーの米Qualysは7月1日(現地時間)、SSHソフトウェア「OpenSSH」に重大な脆弱性を発見したと発表した。脆弱性は「regreSSHion」(CVE-2024-6387)と名付けられ、ルート権限で認証なしに任意のコードをリモートで実行できてしまうという。同社によると世界中の1400万台以上のサーバーに影響があるとする。
regreSSHionはOpenSSHサーバで出現するもので、シグナルハンドラーの競合状態で発生。デフォルト構成のsshdが影響を受けるという。脆弱性が悪用された場合、攻撃者はシステムを制御下に置くことができ、マルウェアのインストール、データの改ざん、バックドア作成だけでなく、ネットワーク内にある他システムへの攻撃の足がかりに悪用される恐れがあるとする。
また、攻撃者がルートアクセスを取得すると、ファイアウォール、侵入検知システム、ログ記録システムなどを回避できるようになるため、攻撃者の活動がより見えにくくなるという。CVSS 3.1の基本スコアは8.1に指定されている。
CensysとShodanを使った検索によると、インターネットに公開されているOpenSSHのサーバインスタンスのうち、1400万件以上が潜在的に脆弱性を抱えているという。また、Qualys CSAM 3.0の匿名データによると、OpenSSHを使用している外部インターネット接続インスタンスの31%に相当する、約70万のインスタンスが脆弱な状態だとしている。
なお、Qualysによると「悪用は困難」と分析する。同脆弱性はリモート競合状態という性質上、攻撃を成功させるにはメモリの破損と、アドレス空間配置のランダム化(ASLR)を克服するために、複数回の試行(OpenSSH開発チームによると32bit Linux/glibc環境下で6~8時間の連続接続)が必要という。一方、Qualysは深層学習の進歩で悪用率が大幅に増加する可能性もあると指摘する。
対象は、4.4p1以前のバージョンで「CVE-2006-5051」および「CVE-2008-4109」のパッチが適用されていない場合と、8.5p1から9.7p1までのバージョンで発生する。4.4p1から8.5p1以前のバージョンまでは脆弱性が解消されていたが、2020年公開の8.5p1から特定のコンポーネントが誤って削除されてしまったため、脆弱性が回帰(regression)してしまったという。
Qualysでは、1日(現地時間)にOpenSSHが公開した最新バージョン(9.8/9.8p1)へのアップデートを強く推奨している。なお、OpenBSDには該当の脆弱性はないとのことだ。
外部リンク
この記事に関連するニュース
-
OpenSSHに再び任意コード実行の脆弱性、確認とアップデートを
マイナビニュース / 2024年7月12日 9時35分
-
「GMOサイバー攻撃 ネットde診断」OpenSSHの脆弱性検知に対応【GMOサイバーセキュリティbyイエラエ】
PR TIMES / 2024年7月8日 15時45分
-
PHP CGIの脆弱性(CVE-2024-4577)を狙った攻撃が急増、3カ月で約10倍に
マイナビニュース / 2024年7月5日 10時57分
-
iPhoneやMacのアプリが影響を受ける可能性、CocoaPodsの脆弱性問題
マイナビニュース / 2024年7月4日 8時51分
-
OpenSSHに管理者権限で任意コード実行の脆弱性、アップデートを
マイナビニュース / 2024年7月3日 7時28分
ランキング
-
1エアコン「冷えない」「冷えすぎる」「カビくさい」問題を解決する魔法のアイテム
ASCII.jp / 2024年7月22日 7時0分
-
2開かずのMO――25年以上前のDTPデータを発掘してひらいてみる
ASCII.jp / 2024年7月22日 9時0分
-
3ホロライブ・桃鈴ねねが一部活動内容を休止へ―「ちょーとトラブルが起きちゃってて…思った以上に大事になってしまった」
インサイド / 2024年7月22日 14時36分
-
4プロが本気で“アンパンマンの塗り絵”をしたら…… 衝撃の仕上がりが360万再生「凄すぎて笑うしかないww」「チーズが、、、」
ねとらぼ / 2024年7月18日 22時0分
-
5『地獄先生ぬ~べ~』2025年に新アニメ化! 人気作の再アニメ化続々、「令和どうした」「令和どうなってんだ」驚く声も
ねとらぼ / 2024年7月21日 16時0分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)