OpenSSHで認証されていないリモートからコードを実行される深刻な脆弱性(CVE-2024-6387)について

2024年7月1日にOpenSSHの脆弱性(regreSSHion: CVE-2024-6387)が公開され、脆弱性を修正したバージョンのOpenSSH 9.8がリリースされました。
リリースノート
https://www.openssh.com/txt/release-9.8(外部サイトに遷移します)
脆弱性CVE-2024-6387の概要
この脆弱性は、過去の脆弱性が再発したもので、「regreSSHion」と名付けられました。認証なしにリモートからroot権限で任意のコードを実行できる重大な脅威です。この脆弱性により、攻撃者はシステムを完全に制御でき、非常に深刻なセキュリティリスクを引き起こします。速やかな対策が必要です。
OpenSSHサーバー(sshd)の脆弱性「CVE-2024-6387」は、sshdのシグナルハンドラーの競合状態(レースコンディション)によって引き起こされます。
脆弱性が悪用されると、攻撃者は最高権限で任意のコードを実行し、システムを完全に乗っ取る可能性があります。これには、マルウェアのインストール、データの改ざん、バックドアの作成などが含まれます。攻撃者がルートアクセスを取得すると、ファイアウォールや侵入検知システムを回避でき、その活動が見えにくくなります。攻撃者はシステムに保存されているすべてのデータにアクセスできるため、重大なデータ漏洩を引き起こす恐れがあります。
CVE-2024-6387の影響範囲
OpenSSHサーバーのバージョンから確認することが可能です。バージョン番号だけでなく各ディストリが付与するリリース番号も併せて確認しましょう。
- 4.4p1 より前のバージョンの OpenSSH は、CVE-2006-5051 および CVE-2008-4109 のパッチが適用されていない限り、このシグナルハンドラーの競合状態に対して脆弱です。
- 4.4p1 から 8.5p1 までのバージョン(8.5p1 は含みません)は、CVE-2006-5051 のパッチにより、以前は安全ではなかった機能が安全になったため、脆弱性はありません。
- 今回の脆弱性(CVE-2024-6387)は、機能内の重要なコンポーネントが誤って削除されたために、8.5p1 から 9.8p1 までのバージョンで再び発生します。
対処方法・緩和策
外部からの不正な通信を遮断する
ファイアウォールを使用して、外部からの不正な通信を遮断します。これにより、攻撃者が脆弱性を悪用するリスクを軽減できます。
最新のOpenSSHにアップデートする
OpenSSHの最新バージョンにアップデートすることで、CVE-2024-6387を修正したパッチを適用できます。これが最も確実な対策です。
構成ファイルの変更(緩和策)
脆弱性修正バージョンへの更新が難しい場合は、回避策として「LoginGraceTime」(ログイン試行の接続時間)の設定を0に変更することで、影響を軽減できます。これは一時的な緩和策として有効です。
各Linuxディストリの関連情報
CVE-2024-6387脆弱性に対する各Linuxディストリビューションの対応状況について説明します。各ディストリビューションがどのように対応しているか、修正がリリースされているかを確認するために、以下の表をご参照ください。
Red Hat | Red Hat Enterprise Linux 9 に影響あり、修正版リリース済み。 https://access.redhat.com/security/cve/cve-2024-6387(外部サイトに遷移します) |
Ubuntu | 修正版(openssh 1:8.9p1-3ubuntu0.10)をリリース済み。 https://ubuntu.com/security/CVE-2024-6387(外部サイトに遷移します) |
Amazon Linux | Amazon Linux 2023に影響あり、修正版リリース済み。 https://explore.alas.aws.amazon.com/CVE-2024-6387.html(外部サイトに遷移します) |
AlmaLinux | AlmaLinux OS 9に影響あり、修正版(openssh-8.7p1-38.el9.alma.2)リリース済み。 https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/(外部サイトに遷移します) |
まとめ
これらの対策を講じることで、CVE-2024-6387のリスクを最小限に抑えることができます。システム管理者はこれらの手段を速やかに実施し、セキュリティを強化することを推奨します。