IBM iの世界でも広く使用されているネットワークプロトコル「SSH(OpenSSH)」に「フルrootアクセスを許可する重大かつ緊急を要する脆弱性が存在する」、とOpenSSHプロジェクトは7月1日に発表した。また、同脆弱性を発見した米セキュリティベンダーのQualysも7月1日に詳細情報を公表した。
Qualysは、規定の設定で構成されたOpenSSHサーバー(sshd)が影響を受けるとし、脆弱性を悪用された場合、「特権で任意のコードをリモートから実行される恐れがあり、重大なリスクをもたらす」と指摘している。CVSS 基本スコアは8.1(重要)。
同脆弱性のCVS番号はCVE-2024-6387だが、Qualysは「regreSSHion」(回帰)と命名している。命名の理由は、CVE-2024-6387の脆弱性が約20年前の2006年に報告されたCVE-2006-5051と同じ脆弱性であり、当時の状態に「回帰」したからという。
回帰の理由は、一度修正されたCVE-2006-50521の欠陥が、その後のソフトウェアの変更で不注意に再導入されリリースされたため。今回は2020年10月のOpenSSH 8.5p1で再導入された、と説明している。
影響を受けるOpenSSHのバージョンと対処法
OpenSSH 4.4p1以前のバージョン
・対処法:CVE-2006-5051およびCVE-2008-4109のパッチの適用
OpenSSH 8.5p1~9.8p1のバージョン
・対処法:OpenSSH 9.8p1のパッチの適用
回避策
・LoginGraceTime(ログイン試行時間)の設定値を0(ゼロ)にする。ただしこの回避策はDoS(サービス拒否)攻撃を受ける恐れがあり、推奨されていない。
・Qualysはパッチ適用以外の対処法として、SSHアクセス制御やネットワークセグメントの見直しなどを紹介している。
Qualys
https://www.qualys.com/
OpenSSHプロジェクト
https://www.openssh.com/
[i Magazine・IS magazine]
