米CERT/CC は米国時間12月13日,SSH(Secure Shell)サーバーを狙う攻撃が多発していることを改めて警告し,年末年始休暇前に再確認するよう呼びかけた。狙われるセキュリティ・ホールはSSH バージョン1に関するものだが,SSH バージョン2のサーバー・ソフトの多くがバージョン1もサポートしているため,攻撃を“成功”させてしまう恐れがある。そのため,最新バージョンにアップグレードするだけでは不十分で,各ベンダーが公開するセキュリティ・パッチも確実に適用するよう呼びかけている。
セキュリティ・ホールについては,米CERT/CCや米Internet Security Systemsなどが,既に警告している([関連記事])。しかしながら,攻撃が後を絶たないことから,今回改めて警告した。
攻撃されて侵入を許すと,任意のコードを管理者権限で実行されてしまい,SSHサーバー・マシンを乗っ取られる恐れがある。そして,「トロイの木馬」プログラムを仕込まれたり,別マシンへの攻撃の踏み台にされたりしてしまう。
対策としては,SSHサーバー・ソフトを最新のバージョンにアップグレードするとともに,セキュリティ・パッチを適用する。パッチが適用できない場合には,サービスを停止することを勧めている。
また,外部からの攻撃を防ぐために,SSHが使用するTCP 22番ポートをふさぐことや,「TCP Wrapper」などのソフトを使用して,アクセスできるホスト(IPアドレス)を制限することなども勧めている。
SSHサーバーに限らず,すべてのサーバーについて,管理者は改めて確認しておきたい。年末年始休暇中は管理が手薄になりがちなため,攻撃者に狙われやすい。
◎参考資料
◆(CERT Advisory CA-2001-35)Recent Activity Against Secure Shell Daemons(米CERT/CC)
