世界のセキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップして紹介する。今回は業界を賑わした「Shellshock」に関する後続の記事から紹介しよう。

 Shellshockは、LinuxなどUNIXベースのOSで広く使われているシェル「Bash」に見つかった脆弱性である。実際に攻撃された事例がいくつか報告され、さらに複数の脆弱性がBashで確認された。トレンドマイクロが当ブログを執筆した時点(10月2日現在)で、Shellshockに関連する6件のCVE(脆弱性識別子)が公開されている。

 問題の脆弱性を利用する遠隔攻撃は、入力値や関数を環境変数に割り当てられるというBashの既知の機能と関係している。

 これらのバグは、シンタックス「() {」で始まる関数定義と結びついている。例えばコマンド「env -i x='() { :;}; echo vulnerable' bash -c "echo this is a test"」が脆弱なBashで実行された場合、以下のように返ってくる。

vulnerable
this is a test

 すでにいくつかの概念実証(PoC)コードが公開されており、そのうち「Metasploit」モジュールは実際にShellshockを利用する攻撃に使われている。

 Shellshockの最初の脆弱性(CVE-2014-6271)はセキュリティ研究者Stephane Chazelas氏が見つけ、9月24日にCVEデータベースに登録された。最初の修正パッチが公開されると、米グーグルのTavis Ormandy氏が2番目の脆弱性(CVE-2014-7169)をその日に報告した。

 いずれの脆弱性も、これを利用することでユーザー権限がなくてもリモートでコマンドを実行できる。その後の詳しい調査でさらに4つの脆弱性(CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187)が確認されている。

 アプリケーションがBashを呼び出す方法によっては、異なる複数のプロトコルを経由して攻撃を仕掛けることが可能だ。例えば、HTTP、SSH、DHCP、FTP、SIP、SMTP、VPNなどに対応した攻撃手口が公開されている。影響を受けるプロトコルが今後さらに広がるおそれがあると、トレンドマイクロは懸念している。

脆弱性が確認された時系列図

 また、Shellshockに関する攻撃に加え、一般的なコマンドインジェクションを利用してWebアプリケーションを狙う攻撃も増すと、トレンドマイクロは予測している。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。