bashに存在する「Shellshock」脆弱性についての注意喚起

Linux などで使用されるオープンソースプログラム「bash」に存在する脆弱性「Shellshock」(CVE-2014-6271)が明らかになりました。

bashは Linux、BSD、Mac OS X などの OS で使われる「シェル」と呼ばれるコマンドシェルの1つです。一般ユーザレベルではOSの一部としてみなされることが多いと思われます。

■「Shellshock」脆弱性(CVE-2014-6271)とは?
この脆弱性は、Linux などの OS で使用されるシェル「bash」の環境変数処理における脆弱性です。この脆弱性が悪用されると、bash を使用している Webサーバが改ざんされたり、Linuxサーバなどが遠隔操作されたり、不正プログラムに感染してしまう危険性があります。

■影響のある環境は?
bashが実装されているOS環境に影響があります。特に、各種 Linuxディストリビューションや Mac OS Xでは bash が標準搭載され、デフォルトシェルとして設定されています。CGI、ssh、rsh、rloginなどで bash が使われている場合、システムなどの関数によって呼びこまれている場合には特に注意が必要です。

また、サーバやPCだけではなく、Linuxベースのアプライアンスや組み込み機器、Internet of Everything(IoE)関連デバイスなどでも影響を受ける可能性があります。

■どのように攻撃に使われるのか?
攻撃者は、この脆弱性をもつサーバや PC に対し脆弱性を悪用する通信を行うことにより、コマンドを実行することができます。これにより、遠隔操作や不正プログラムの実行などの不正操作が可能になります。既にこの脆弱性を持つサーバを探索する通信が確認されているようです。すでに関連する不正プログラムも確認されています。

一般的な攻撃シナリオとしては、Webサーバなど、インターネットから直接アクセスできる公開サーバに対する遠隔攻撃の可能性が高いものと言えます。ローカルネットワーク内にあるサーバはインターネットから直接接続できないため、攻撃される可能性はかなり低いものと言えます。

■修正プログラム、緩和策は?
既に GNU Project からは本脆弱性の一部を修正する以下のパッチが公開されています。

  • – Bash 4.3 Patch 25
  • – Bash 4.2 Patch 48
  • – Bash 4.1 Patch 12
  • – Bash 4.0 Patch 39
  • – Bash 3.1 Patch 18
  • – Bash 3.0 Patch 17

また、各種 Linuxディストリビューターからも修正パッチが公開されていますが、これらのパッチではまだ完全な修正が行えていない可能性があることが確認されています。クリティカルな脆弱性のため、Linuxシステムを使っている場合には、bash を無効にする、あるいは代替のシェルに入れ替える、脆弱性のあるサービスへの入力にフィルタをかける、などの緩和策を併せて実施することを推奨しています。

■トレンドマイクロのソリューション
トレンドマイクロでは、今回の脆弱性を利用した攻撃に対応するためにいくつかの対策を提供しています。

サーバ向けセキュリティソリューション「Trend Micro Deep Security」をご利用のお客様は、侵入防御 (DPI) ルールを「DSRU14-028」にアップデートしていただきルール ID「1006256:GNU Bash Remote Code Execution Vulnerability」を適用してください。

「Deep Discovery Inspector」をご利用のお客様の場合、この脆弱性を利用した攻撃を検知することができます。NCIPパターンを「1.12175.00」に、NCCPを「1.12147.00」にアップデートしていただき、ルールID「1618:Shellshock HTTP REQUEST」を適用してください。

また、関連する不正プログラムを「ELF_BASHLITE.A」として検出できるパターンファイルバージョン11.171.xxにアップデートをしてください。

トレンドマイクロでは、継続して調査を続けており、新しい情報が確認でき次第更新してまいります。