米CERT/CCは米国時間11月5日,複数ベンダーのSSH(Secure Shell)サーバー・ソフト(sshd)* のセキュリティ・ホールを狙う攻撃が増えていることを警告した。攻撃に成功すると,SSHサーバー上で任意のプログラムを実行される恐れがある。攻撃は容易で,その方法は公開されているので,管理者は早急に対処する必要がある。対策はパッチの適用やバージョンアップ,および設定の変更などである。なお,セキュリティ・ベンダーである米Internet Security Systems(ISS)も同様の警告を10月30日に公開している。
* SSHとは,セキュアな通信を行うためのプロトコルのこと。r系コマンド(rsh,rloginなど)やTelnetと異なり通信内容を暗号化するので,セキュアにリモート・ログインすることが可能となる。「ポート・フォワーディング」と呼ばれる技術により,FTPやPOP3などの通信を暗号化することもできる。
今回のセキュリティ・ホールは,SSHv1(SSHプロトコル バージョン1)を取り扱う部分に問題があることが原因である。そのため,SSHv2(バージョン2)を使用するソフトは影響を受けない。しかしながら,SSHv2をサポートするソフトは,SSHv1も同様にサポートしている場合が多い。SSHv1の機能を無効にしないと影響を受けるので注意が必要である。
米ISSの情報によれば,影響を受けるsshdを実装した製品は以下の通り。
- Cisco Catalyst 6000 6.2(0.110)
- Cisco IOS 12.0S
- Cisco IOS 12.1xx-12.2xx
- Cisco PIX Firewall 5.2(5)
- Cisco PIX Firewall 5.3(1)
- SSH Communications Security SSH 2.x and 3.x(SSHv1の機能を有効にしている場合)
- SSH Communications Security SSH 1.2.23-1.2.31
- F-Secure SSH のバージョン 1.3.11-2 より前のバージョン
- OpenSSH のバージョン 2.3.0 より前のバージョン(SSHv1の機能を有効にしている場合)
- OSSH 1.5.7
対策は各ベンダーが公開するパッチを適用すること。パッチの公開状況などについては,米ISSが公開する情報や,米CERT/CCの「Vulnerability Note VU#945216」を参照してほしい。SSHv2対応ソフトの場合,SSHv1の機能を無効にすることも効果的な対策である。
ルーターやファイアウオールで,SSHが使用するTCP 22番ポートをふさぐことも,外部からの攻撃を防ぐために有効である。インターネット経由でSSHサーバーにアクセスしたい場合には,SSHサーバー・ソフトの機能や「TCP Wrapper」などのソフトを使用して,アクセスできるホスト(IPアドレス)を制限することも効果がある。
◎参考資料
◆Exploitation of vulnerability in SSH1 CRC-32 compensation attack detector(米CERT/CC)
◆Vulnerability Note VU#945216(米CERT/CC)
◆Widespread Exploitation of SSH CRC32 Compensation Attack(米Internet Security Systems)
