UNIXとLinuxの「Bash」シェルに見つかった脆弱性「Shellshock」はどのようなもので、どういった影響を与えるのだろうか。前編に引き続きQ&A方式で解説する。
Shellshockはどれほど深刻なのか
Shellshockの存在が最初に公表されたとき、少なくとも何十万台ものインターネット接続サーバが、脆弱性が容易に悪用される状態にあった。これは控えめな試算だ。これらのサーバの多くがその後、侵害された可能性は非常に高い。
このバグを悪用するのは極めて簡単だ。特別なツールやカスタムツールは必要ない。概念のレベルから理解するのも容易である。既に概念実証スクリプトやデモ、キットが広く出回っている。
このエクスプロイトがもたらす被害は重大だ。通常、攻撃者はリモートから認証なしでコマンドを注入することができる。攻撃ベクトルが見つかれば、任意のコードを簡単に実行できるようになることが多い。
このバグは20年以上前からBashコード内に存在している。さまざまな個人が独力でこのバグを発見し、これまで秘密にしてきた可能性がある。一般の人々に公表されるまで、このバグが悪意の目的で野放図に利用されてきた可能性もある。しかし、公表されるまでこのバグの存在が世界に知られていなかった可能性もそれと同じくらい高い。
脆弱なサーバの多さとエクスプロイトツールの入手のしやすさ、エクスプロイトが成功した場合の重大な被害を総合して考えると、この脆弱性は極めて深刻なものと言える。
身を守るためにセキュリティチームができること
システムにパッチを適用すること。ベンダーから最新のパッチを入手して、Bashに適用し、最新のバージョンにアップデートしよう。メンテナーがパッチを再発行する可能性があること、そして、まだ修復されていないBash脆弱性向けに新しいパッチが公開される予定であることを留意して欲しい。
システムの安全度を確認する。システムにパッチが適用されておらず、脆弱性があるかどうかを確認できる素晴らしいガイドをRed Hatが公開している(リンクを参照)。
Bashにパッチを適用することができない、または、自分のプラットフォーム向けのパッチが公開されていない場合は、別のシェルへの切り替えを検討しよう。
ネットワークとサーバセキュリティ製品をアップデートする。エクスプロイトの試みを検出および防止するために、適切なルールセットでIPSシステムをアップデートする必要がある。
ネットワーク内と自社の不正なサーバおよびアクセスポイントの監視を続けよう。
IPSはどれほど効果的なのか
IPSなどのネットワークベースの検知システムは、Shellshockエクスプロイトの検知および防止に非常に効果的だ。この脆弱性を引き起こす文字列はとても特徴的なので、検知するのはかなり簡単である。誤検出の可能性も比較的低い。なぜなら、悪意のあるデータは特定の場所に現れ、その文字列がほかの場所で使われることはまれだからだ。
