CVE-2024-6387 – RegreSSHionに対する防御強化

By 清水 孝郎 - JULY 4, 2024
Topics: 脅威リサーチ

SHARE:

本文の内容は、2024年7月4日に ASHISH CHAKRABORTTY が投稿したブログ(https://sysdig.com/blog/cve-2024-6387)を元に日本語に翻訳・再構成した内容となっております。

7 月 1 日、Qualys のセキュリティチームは、OpenSSH サーバーにおけるリモートから悪用可能な脆弱性CVE-2024-6387 を発表しました。この重大な脆弱性は、「regreSSHion」というニックネームが付けられています。根本的な原因は、2006 年に遡るかなり以前の脆弱性CVE-2006-5051を修正したコードを誤って削除したことにあるためです。競合状態は、sshd (SSH のデーモン プログラム) のデフォルト構成に影響します。

OpenSSH 4.4p1 より古いバージョン (以前の CVE-2006-5051 およびCVE-2008-4109のパッチが適用されていない場合) および 8.5p1 から 9.8p1 までのバージョンが影響を受けます。一般的なガイダンスとしては、バージョンを更新することです。Ubuntu ユーザーは更新されたバージョンをダウンロードできます。 

OpenSSH 情報セキュリティリサーチャーによると、この脆弱性を悪用するのは難しいかもしれない、とのことです。 

調査の結果、ラボ環境では、サーバーが受け入れる最大量に達するまで、攻撃には平均 6 ~ 8 時間の連続接続が必要であることが明らかになりました。

CVE-2024-6387 が重要な理由は何ですか? 

この脆弱性により、認証されていない攻撃者がルートレベルの権限を取得し、glibcベースの Linux システムにリモートでアクセスできるようになります。このシステムでは、syslog() (システム ログ プロトコル) 自体が SIGALRM ハンドラを介して非同期シグナル安全でない関数を呼び出します。リサーチャーは、注目すべき例外である OpenBSD 上の OpenSSH は、SIGALRM ハンドラが syslog() の非同期シグナル安全バージョンである syslog_r() を呼び出すため、設計上脆弱ではないと考えています。 

技術的な背景については、OpenSSH が発行したアドバイザリQualys が公開したレポートをお読みください。

影響は何か?

OpenSSH のリサーチャーは、ディープラーニングの進歩により、攻撃は時間とともに改善され、glibc 以外のシステムを含む他のオペレーティング システムにも影響を及ぼすと考えています。CVE-2024-6387 を悪用した場合の最終的な影響は、システム全体の侵害と乗っ取りであり、脅威の攻撃者は最高権限で任意のコードを実行し、セキュリティメカニズムを破壊し、データを盗み、さらには永続的なアクセスを維持することさえ可能になります。Qualys のチームは、インターネットに公開されている潜在的に脆弱な OpenSSH サーバー インスタンスをすでに 1,400 万以上特定しています。

 

Sysdig で脆弱な OpenSSH パッケージを見つける方法

インベントリーワークフローを使用すると、クラウド (GCP、Azure、AWS)、Kubernetes、コンテナ イメージ全体のリソースとセキュリティの盲点を可視化できます。パッチ適用に加えて、重要な資産への SSH アクセスも制限する必要があります。 

Sysdig Secure を使用して環境内の脆弱な OpenSSH パッケージを検索する方法は次のとおりです。

  • Inventory タブに移動します
  • 検索バーに次のクエリを入力します。 
Package contains openssh

結果には、脆弱なパッケージを持つクラウド資産全体のすべてのリソースが表示されます。Sysdig は、環境内でチェックされていない可能性のあるすべての盲点の概要を提供します。フィルターを操作して、単一の統合プラットフォーム内から調査のタイムラインをさらに短縮できます。

CVE-2024-6387

ステートフル検知の必要性

regreSSHion の悪用には、一定期間内に実行される複数回の試行 (実際には数千回) が含まれます。この複雑さにより、主に悪用の複雑さに基づいて、CVE が「Critical」に分類された脆弱性から「High」リスクの脆弱性に格下げされます。

Sysdigを使用すると、ベースラインとしてのsshdの動作からのドリフトを検知できます。この場合、Sysdigのステートフル検知はsshdサーバーへの認証試行の失敗回数を追跡します。Falcoルール単体でも潜在的な侵害指標(IoC)を検知できますが、Sysdigはこれをグローバルな状態テーブルに取り込むことで、一時的なアラートに焦点を当てるのではなく、匿名ユーザーによる実際の認証試行失敗の急増をより適切に検知できるようになるのです。

Sysdig Secureの中心には、Falcoの統合検知エンジンがあります。この最先端のエンジンは、リアルタイムの振る舞いの洞察と脅威インテリジェンスを活用して、多層インフラストラクチャーを継続的に監視し、潜在的なセキュリティインシデントを特定します。

異常なコンテナ活動、不正なアクセス試行、サプライチェーンの脆弱性、またはアイデンティティベースの脅威など、Sysdigは進化する脅威に対して組織が統合され、積極的な防御を確保できるようにします。

Reference:

https://thehackernews.com/2024/07/new-openssh-vulnerability-could-lead-to.html

https://blog.vyos.io/cve-2024-6387-regresshion

https://www.openssh.com/releasenotes.html

https://github.com/acrono/cve-2024-6387-poc