OpenSSHの致命的なRCE脆弱性「regreSSHion(CVE-2024-6387)」が発見され、全世界のセキュリティ業界が警戒し、攻撃に対する分析と対応態勢を取ることを強調しています。当脆弱性は、認証されていないリモートコード実行(RCE)を通じてglibcベースのLinuxシステムのOpenSSHサーバー(sshd)に影響を与えると知られています。
再び現れたRCEの脆弱性、CVE-2024-6387「regreSSHion」
OpenSSHサーバー(sshd)のデフォルト設定で発生する競合条件であるCVE-2024-6387の脆弱性は、認証されていないリモートコードの実行を可能にします。この問題はすでに18年前にパッチが適用されたCVE-2006-5051で発生し、2020年10月のOpenSSHバージョン8.5p1で再び登場しました。
特に、今回の脆弱性が公開されて間もなくPoC攻撃コードまで公開され、いつでも悪用や被害が発生する可能性がある状態であり、脆弱性に対する迅速な対策がさらに必要な状況です。
- regreSSHion(CVE-2024-6387)のPoC攻撃コード:https://github.com/zgzhang/cve-2024-6387-poc/blob/main/7etsuo-regreSSHion.c
脆弱性の影響を受けるOpenSSHバージョンの確認
- OpenSSH 8.5p1~9.7p1
- OpenSSH 4.4pl以前のバージョン(CVE-2006-5051及びCVE-2008-4109のパッチが適用されていない場合)
当脆弱性は特に8.5p1から9.7p1までのOpenSSHバージョンに影響を及ぼし、4.4p1以前のバージョンもCVE-2006-5051及びCVE-2008-4109のパッチが適用されていない場合、脆弱です。OpenBSDシステムには、この欠陥をブロックするセキュリティメカニズムが含まれているため、影響を受けません。
OpenSSH regreSSHion脆弱性の影響をチェックするスクリプトを参照することもできます。
公開されたOpenSSHサーバー978万台が検出、regreSSHion脆弱性の脅威にさらされる
OSINT脅威ハンティングツールであるCriminal IPのIT資産検索で、外部に公開された978万以上のOpenSSHサーバーインスタンスが当脆弱性にさらされていることが確認されます。
Search Query: product: OpenSSH
検索された978万台のOpenSSHサーバーがすべて今回公開された脆弱性の影響を受けるわけではありませんが、外部に公開されたOpenSSHを対象に既知のPoC攻撃コードを代入して脆弱性を攻撃する場合、特定できない多数によってリモートコード実行(RCE)ができる可能性があります。
攻撃に成功するためには、平均的に6~8時間、サーバーが受け入れられる最大の接続が必要です。接続後は、システムが完全に妥協され、root権限を通じてマルウェアのインストール、データ改ざん、バックドアの生成、ネットワーク伝播など様々な攻撃が可能になります。
公開されたOpenSSHサーバーを保有する国の統計
Criminal IPの要素分析機能で「product: OpenSSH」クエリを使用して、CVE-2024-6387の脆弱性の影響を受けるOpenSSHサーバーの国別統計を確認することができます。
合計215の国が脆弱なOpenSSHを使用していることが確認されました。その中で、アメリカが3,577,368台で最も多く、中国が2,729,474台、ドイツが2,253,811台でその後にランクされました。
日本は全体の12番目で、合計268,037台のOpenSSHサーバーが発見されました。
CVE-2024-6387「regreSSHion」脆弱性の対策案
OpenSSHを使用する個人、企業および機関は、できるだけ早く最新のパッチを適用して、潜在的な脅威からシステムを保護する必要があります。また、ネットワークベースの制御を通じてSSHアクセスを制限し、ネットワークセグメンテーションを通じて不正アクセスやラテラルムーブメントを防止することをお勧めします。
当脆弱性は、リモート競合状態の特性によって悪用が難しいですが、それでも継続的な監視と迅速な対応が必要です。特に、ディープラーニング技術の発展により、攻撃者がこのような脆弱性をより効果的に悪用する可能性が高まっており、注意が必要です。
CVE-2024-6387 regreSSHionの脆弱性を緩和する方法として、以下の方法を適用することができます。
- パッチ管理:OpenSSHに利用可能なパッチを直ちに適用し、定期的な更新プロセスを優先してすべてのシステムが保護されるようにします。
- 強化されたアクセス制御:ネットワークベースの制御を通じてSSHアクセスを制限し、攻撃のリスクを最小限に抑えます。
- ネットワークセグメンテーションと侵入検知:ネットワークセグメンテーションを実施し、重要な環境内で許可されていないアクセスとラテラルムーブメントを制限します。侵入検知システムを構築して、悪用の試みを示す異常な活動を監視し、警告します。
今回のOpenSSH脆弱性は、ソフトウェアアップデートとパッチ管理の重要性を改めて強調しています。企業や組織は、徹底的な回帰テストを通じて、すでに知られている脆弱性が再び悪用されないようにし、継続的なセキュリティモニタリングとネットワーク制御を通じてシステムを保護する必要があります。
関連してCVE-2024-29212 Veeam Service Provider Consoleをご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
