広く使用されているコマンドインタープリタであるBashで発見されたバグは、UnixおよびLinuxシステムに重大なセキュリティリスクをもたらすと、セキュリティの専門家は述べています。 また、単にサーバーの問題であるとして問題を却下したくない場合は、Mac OS XがBashを使用することに注意してください。 多くの専門家は、Heartbleedよりも悪いかもしれないと警告しています。
バグを最初に公開したアカマイのUnixおよびLinuxネットワークおよびテレコム管理者であるStephane Chazelasによると、脆弱性はバージョン1.13から4.3までのBashのほとんどのバージョンに存在します。 国土安全保障省のコンピューター緊急対応チーム(CERT)は、この脆弱性が悪用された場合、リモートのハッカーが影響を受けるシステムで悪意のあるコードを実行できる可能性があるという警告で警告しました。 NISTの脆弱性データベースでは、バグの深刻度を10点中10点と評価しています。
「この脆弱性は非常に大きな問題になる可能性があります」とRapid7のエンジニアリングマネージャーであるTod Beardsley氏は述べています。
この脆弱性は、Bashが環境変数を処理する方法に関係しています。 関数を変数に割り当てると、定義内の追加のコードも実行されます。 そのため、攻撃者がやらなければならないことは、その定義に一連のコマンドを追加することです(古典的なコードインジェクション攻撃)。そして、影響を受けるマシンをリモートでハイジャックすることができます。 Chazelasおよびその他の研究者は、OpenSSH sshdのForceCommand機能、Apache HTTP Serverのmod_cgiおよびmod_cgidモジュール、またはDHCPクライアントの環境。
「Linuxや他のUNIXシステム上の多くのプログラムはBashを使用して環境変数を設定し、それが他のプログラムの実行中に使用されます」と、Cloud Security Allianceの最高経営責任者であるJim Reavisはブログ投稿に書きました。
避けられないハートブリードの比較
この脆弱性について2つのことを考慮してください。Linux/ Unixサーバーは、世界中のデータセンターや多くのデバイスに組み込まれている場所で広く使用されています。 この脆弱性は何年も前から存在しています。 Bashは非常に普及しているため、Heartbleedと比較すると、4月に発見されたOpenSSHの脆弱性は避けられません。 Errata SecurityのRobert Grahamは、すでに欠陥ShellShockと呼んでいます。
しかし、Heartbleed 2ですか? 言うのは少し難しいです。 攻撃者がコマンドシェルにアクセスできるようになるため、これは間違いなく深刻な問題です。これは、そのマシンで何でもできるようにするための黄金のチケットです。
サイズの観点から考えてみましょう。 Apache Webサーバーは、世界の膨大な数のWebサイトを支えています。 Heartbleedで学んだように、OpenSSHとTelnetを使用する非Linux / Unixマシンがたくさんあります。 また、DHCPは、ネットワークに簡単に乗り降りできるようにするのに役立ちます。 つまり、コンピューターやサーバーに加えて、ルーターなどの他の組み込みシステムもハイジャックに対して脆弱である可能性があります。 バグのこれまでで最も徹底的な分析を行ってきたErrata SecurityのGrahamは、いくつかのスキャンを実行し、数千の脆弱なサーバーを簡単に発見しましたが、現時点では問題の規模を推定するのは少し難しいです。
ただし、OpenSSLの脆弱なバージョンがインストールされているだけで、Heartbleedの欠陥が存在していました。 このバグはそれほど単純ではありません。
「Bashを実行しているほど「単純」ではありません」とBeardsley氏は言います。 マシンが攻撃に対して脆弱であるためには、ユーザー入力(User-Agentヘッダーなど)を取り込み、環境変数(CGIスクリプトが行う)に入れるアプリケーション(Apacheなど)が必要であると彼は言いました。 彼は、最近のWebフレームワークは一般に影響を受けないと述べた。
ShellShockがHeartbleedほど深刻である一方でGrahamが「このバグを急いで修正する必要はほとんどありません。プライマリサーバーはおそらくこのバグに対して脆弱ではない」と言ったのはこのためかもしれません。
しかし、ルーターと組み込みデバイス(およびモノのインターネット)についておびえる前に、すべてのシステムがBashを使用しているわけではないことに注意してください。 Ubuntuおよびその他のDebian派生システムは、Dashと呼ばれる別のコマンドインタープリターを使用する場合があります。 Kaspersky Labの上級研究員であるRoel SchouwenbergはTwitterで、組み込みデバイスは頻繁にBusyBoxと呼ばれるものを使用しますが、これは脆弱ではありません。
脆弱かどうか?
次のコマンド(CSAが提供するコード)を実行することにより、脆弱かどうかを確認できます。 ターミナルウィンドウを開き、$プロンプトで次のコマンドを入力します。
env x = '(){:;}; echo脆弱なbash -c「これはテストです」
脆弱な場合は、次のように出力されます:
傷つきやすい
これはテストです
Bashを更新した場合は、以下のみが表示されます。
これはテストです
通常、先に進んですぐにパッチを適用すると言いますが、利用可能なパッチは完全ではありません。 Red Hatによると、Bashにパッチを適用した後でも、環境変数を介してコマンドを注入する方法はまだあります。 マシンの数が少ない場合は、先に進んで利用可能なパッチを適用する価値があるかもしれませんが、パッチするマシンが数千ある場合は、さらに数時間待つ価値があるかもしれません。 すべてのアップストリームLinuxディストリビューション(そしてできればApple!)が現在修正に取り組んでいます。
「Bashを聞いたことがない、または実行していない場合でも、コンピューターでBashプロセスを生成するソフトウェアを実行している場合があります」と、独立系セキュリティコンサルタントのGraham Cluley氏は述べています。
