発見された「OpenSSH」の脆弱性は、なぜ致命的なのか？ 専門家が解説

リモート接続用ソフトウェア「OpenSSH」に危険な脆弱性が見つかった。ユーザーは最新版のソフトウェアに置き換える必要がある。

[Matt Kapko，Cybersecurity Dive]

　ネットワークを通じてリモートのサーバに接続するために広く使われているソフトウェアが「OpenSSH」（Open Secure Shell）だ

発見されたOpenSSHの脆弱性は、なぜ致命的で、どう危険なのか

　サイバーセキュリティ事業を営むQualysは、2024年7月1日、このOpenSSHに致命的な脆弱（ぜいじゃく）性が見つかったと発表した。

　Qualysによれば「OpenSSHのサーバのうち少なくとも70万台がリモートコードの実行に関する脆弱性『CVE-2024-6387』による攻撃を受けるリスクを抱えている」（注1）という。Qualysの研究者はこの脆弱性を「regreSSHion」と名付けた。

　脆弱性のスコアリングは、CVSSv3.1が8.1で深刻度はCriticalだ。Qualysの研究者は「この脆弱性は重大なセキュリティリスクをもたらす致命的な脆弱性だ」と述べた。危険なのはglibcベースの「Linux」システムだ。OpenSSHのサーバにおけるシグナルハンドラの競合条件により、ルート特権を用いて、認証されていないリモートコードの実行が可能になる。

　Qualysのバラット・ジョギ氏（脅威研究部門のシニアディレクター）は、レポートの中で次のように記した。

　「この脆弱性が悪用された場合、攻撃者は最高権限で任意のコードを実行し、システムの完全な乗っ取りはもちろん、マルウェアのインストールやデータの改ざん、永続的なアクセスのためのバックドアの作成が可能になる。システムを完全に掌握されてしまう恐れがある」

　OpenSSHはセキュアシェルプロトコルに基づくネットワークセキュリティ機能の集合体であり、通信や自動化プロセス、ファイル転送を保護する複数の暗号化技術を備える。

　Qualysによると、この脆弱性は以前にパッチが適用された脆弱性「CVE-2006-5051」のリグレッションだ（注2）。つまり、新しいソフトウェアのアップデートや変更が適用された際に、以前に修正されたバグや脆弱性が再度発生する現象が起きている。

　発見された脆弱性があるのはOpenSSHのバージョン8.5p1から9.7p1までだ。OpenSSHのサーバに関する最新アップデート「バージョン9.8p1」（注3）では、この脆弱性が修正されている。

　最新バージョンのソフトウェアを展開し、ネットワークベースの制御を通じてアクセスを制限することで、リスクを軽減するようにQualysは企業に呼びかけた。また、脅威研究者は2024年7月1日にこの脆弱性の技術的な詳細を公表した（注4）。

　Qualysが発見した脆弱性は「Windows」と「macOS」にも存在する可能性が高いが、これらのOSで悪用できるかどうかはまだ確認されていない。

　ジョギ氏は、レポートに次のように記した。「CVE-2024-6387を悪用すると、ネットワークで広がっていき、侵害済みのシステムを足掛かりにして、組織内の他の脆弱なシステムに移動できるようになる。つまりさらなる攻撃が可能になるだろう。さらに攻撃者はルートアクセスを得て、ファイアウォールや侵入検知システム、ロギングメカニズムなどの重要なセキュリティの仕組みを回避できるようになり、隠れて活動を続けやすくなる」

出典：700,000 OpenSSH servers vulnerable to remote code execution CVE（Cybersecurity Dive）
注1：regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server（Qualys Community）
注2：CVE-2006-5051 Detail（NIST）
注3：OpenSSH 9.8/9.8p1（OpenSSH）
注4：Qualys Security Advisory（Qualys）