認証なしでリモートコード実行　OpenSSHに“回帰”した脆弱性「regreSSHion」発覚

　セキュリティベンダーの米Qualysは7月1日（現地時間）、SSHソフトウェア「OpenSSH」に重大な脆弱性を発見したと発表した。脆弱性は「regreSSHion」（CVE-2024-6387）と名付けられ、ルート権限で認証なしに任意のコードをリモートで実行できてしまうという。同社によると世界中の1400万台以上のサーバーに影響があるとする。

【画像を見る】OpenSSHで見つかった脆弱性「regreSSHion」

　regreSSHionはOpenSSHサーバで出現するもので、シグナルハンドラーの競合状態で発生。デフォルト構成のsshdが影響を受けるという。脆弱性が悪用された場合、攻撃者はシステムを制御下に置くことができ、マルウェアのインストール、データの改ざん、バックドア作成だけでなく、ネットワーク内にある他システムへの攻撃の足がかりに悪用される恐れがあるとする。

　また、攻撃者がルートアクセスを取得すると、ファイアウォール、侵入検知システム、ログ記録システムなどを回避できるようになるため、攻撃者の活動がより見えにくくなるという。CVSS 3.1の基本スコアは8.1に指定されている。

　CensysとShodanを使った検索によると、インターネットに公開されているOpenSSHのサーバインスタンスのうち、1400万件以上が潜在的に脆弱性を抱えているという。また、Qualys CSAM 3.0の匿名データによると、OpenSSHを使用している外部インターネット接続インスタンスの31％に相当する、約70万のインスタンスが脆弱な状態だとしている。

　なお、Qualysによると「悪用は困難」と分析する。同脆弱性はリモート競合状態という性質上、攻撃を成功させるにはメモリの破損と、アドレス空間配置のランダム化（ASLR）を克服するために、複数回の試行（OpenSSH開発チームによると32bit Linux／glibc環境下で6〜8時間の連続接続）が必要という。一方、Qualysは深層学習の進歩で悪用率が大幅に増加する可能性もあると指摘する。

　対象は、4.4p1以前のバージョンで「CVE-2006-5051」および「CVE-2008-4109」のパッチが適用されていない場合と、8.5p1から9.7p1までのバージョンで発生する。4.4p1から8.5p1以前のバージョンまでは脆弱性が解消されていたが、2020年公開の8.5p1から特定のコンポーネントが誤って削除されてしまったため、脆弱性が回帰（regression）してしまったという。

　Qualysでは、1日（現地時間）にOpenSSHが公開した最新バージョン（9.8／9.8p1）へのアップデートを強く推奨している。なお、OpenBSDには該当の脆弱性はないとのことだ。