検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

リサーチセンターブログ パロアルトネットワークスがBash脆弱性Shellshockに対処: CVE-2014-6271への対策

9 30, 2014 at 04:00 午前

2014年9月25日に米国で掲載されたブログ記事の抄訳です。

米国西海岸時間の9月24日午前6時頃、UNIX系OSで広く利用されているBourne Again Shell (以下、Bash) に存在する脆弱性の詳細が複数のLinuxベンダーから公開されました。MITRE社によってCVE-2014-6271として割り当てられたこの脆弱性は、英国のロボット会社SeeByte社のUNIXおよびLinuxネットワーク電気通信管理者兼IT管理者のStephane Chazelas氏によって最初に発見されました。

この脆弱性はHeartbleedのような派手さやインパクトのある名前は付いていませんでしたが、セキュリティコミュニティはすぐに「Shellshock」という名前で呼び始めました。BashはほとんどのLinuxやUNIXのディストリビューションとAppleのMac OS Xに存在し、多くのユーザーがパッチを適用する必要があります。

パロアルトネットワークスはこの脆弱性を検知するシグネチャID: 36729 “Bash Remote Code Execution Vulnerability” を含むIPSコンテンツを9月25日夜に緊急リリースしました。

パロアルトネットワークスの次世代ファイアウォール向けOS「PAN-OS」と統合管理製品「Panorama」の全バージョンにおいても、脆弱性のあるバージョンのBashが含まれていますが、認証されたユーザーによってのみ攻撃可能であることを特定しています。通常のPAN-OSメンテナンスリリースのアップデートによって本脆弱性に対する修正プログラムを提供します。詳細については、弊社Webサイト内の製品脆弱性情報ページにて注意事項を掲載しましたのでご参照ください。

脆弱性の詳細

CVE-2014-6271はBashのこれまでの全バージョンに存在し、シェル起動時における環境変数の処理方法に依存します。環境変数に格納されているユーザーのホームディレクトリの場所といった情報がシェル ソフトウェアによって使用されます。変数以外にも、Bashは、ユーザーが後から呼び出すことができるように、環境変数にシェル関数を格納できるようにもなっています。今回のBash脆弱性が存在するこれら関数の構文解析では、シェルは誤って関数定義後に追加されたコードを実行してしまいます。次に例を示します。

$ env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
vulnerable
this is a test

Bashは関数をクローズするセミコロンの後に、環境変数“x”の処理を停止する必要がありますが、停止せずに “echo vulnerable” の処理を継続してしまいます。一見するとコマンド実行はBashの主要機能であるため、あまり危険性が無いようにも思えますが、他の多くのプログラムがコマンドを実行するためにBashを使用していることを理解することが重要です。

  • mod_cgiおよびmod_cgidを実行しているApache サーバーがBashシェルを起動し、悪意あるHTTPヘッダーを渡して脆弱性を悪用する変数をリクエストする
  • 何らかの場合に OpenSSH がBashから渡された環境変数を解析し、本脆弱性を用いて特権を得て、脆弱な状態となる

 

これら2つの例が現時点で本脆弱性を悪用する最も可能性の高い攻撃手法ですが、他のサービスがネットワーク攻撃に利用できる方法でBashを使用する可能性もあります。完全に攻撃を防止するための唯一の方法は、システム上のBashを脆弱性の無いバージョンにアップグレードすることです。

影響範囲

本脆弱性は責任を持った形で開示が行われ、一般公表日にほとんどのプラットフォームでパッチが利用可能となったことは良い点です。悪い点は、本脆弱性が非常に広範囲にわたる恐れがあることです。最も人気のあるLinuxバリアント(種類)においてBashはデフォルトのシェルであり、過去20年にわたるソフトウェアの全バージョンに脆弱性があります。良く管理されたシステムでは本日パッチが適用されるでしょうが、ラックの中で埃をかぶった古いシステムがアップデートされることはないかもしれません。また、ネットワークデバイス、組込システム、IPカメラのようなインターネットに接続されたデバイスの多くはLinuxで実行されており、脆弱である可能性があります。

幸いなことに、単純にBashが実行されているすべてのシステムがリモートから悪用されるというわけではなく、リモートから悪用するにはネットワーク経由でBashにアクセス可能なアプリケーションが起動される必要があります。前述のように、最も一般的な攻撃シナリオはApacheが実行されCGIスクリプトが使われているWebサーバーと考えられます。攻撃者にとってWebサーバーは素晴らしいリソースです。以下のような悪用が懸念されます。

  • DDoS 攻撃を実施する (Operation Ababilを参照)
  • 訪問者をマルウェアに感染させる
  • ネットワーク内部に踏み台を作り他のシステムに拡散する
  • Webサーバーにアクセス可能な機密データを搾取する

 

これらはすべて、すでに進行中の、脆弱なホストに対するインターネットの大規模スキャンから得られた可能性のある結果です。

推奨

  • パロアルトネットワークスの脅威防御サブスクリプションを購入しているお客様は、CVE-2014-6271の悪用を検知する脆弱性シグネチャ36729を導入するため、HTTPリクエスト経由で脅威コンテンツバージョン457にアップデートしてください。
  • このシグネチャがヒットしていないか脅威ログを監視し、当該送信元IPアドレスからの以後のリクエストをブロックすることを推奨します。この行為は攻撃者が将来の攻撃のためにネットワークに行う偵察行動の可能性があります。
  • 脆弱性の無いバージョンへBashを更新するために、脆弱なシステムにパッチを適用してください。
    • RedHat
    • Debian
    • Centos
    • Ubuntu
    • Novell
  • 本ブログ投稿時点で、Appleは本問題に対応したMac OS X用の更新プログラムをリリースしていません。しかし、Bash 3.2 (Mac OS 10.9に含まれる) 用のパッチは、独自バージョンのコンパイルを選択するユーザー向けに org から入手可能です。
  • Bashを更新できない場合、代替シェルへの置き換えが検討できますが、これは互換性の問題を引き起こす可能性があることに注意してください。
  • PAN-OS ユーザーは、管理者以外のアカウントを無効にすることで、本脆弱性が利用されて上位権限を取得される可能性を排除し、本脆弱性の影響を緩和することができます。

 


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.