2024年7月1日、OpenSSHにおいて重大なセキュリティ脆弱性(CVE-2024-6387)が発見されました。
この脆弱性は、OpenSSH 8.5p1以降のバージョンに影響を与え、認証されていないリモート攻撃者が特定の条件下でシステムにアクセスできる可能性があります。
この記事では、Ubuntuにて「CVE-2024-6387」を対処する方法を解説します。
\ すぐに修正 /
脆弱性の概要
項目 | 詳細 |
---|---|
CVE ID | CVE-2024-6387 |
影響を受けるバージョン | OpenSSH 8.5p1以上、9.8p1未満 |
攻撃元区分 | ネットワーク |
CVSSスコア | 8.1 (High) |
この脆弱性は、2006年に修正された類似の問題(CVE-2006-5051)の再発です。
攻撃者は、設定された時間内に認証に失敗することで、この脆弱性を悪用する可能性があります。
脆弱性の影響
発表された脆弱性(CVE-2024-6387)の悪用により、深刻な影響が考えられます。
まず、リモートから任意のコードが実行される可能性があります。
攻撃者がシステムに不正にアクセスし、悪意のあるコードを実行することで、システムの制御権が奪取される危険性があります。
これは、データの窃取や改ざん、さらなる攻撃の足がかりとなる可能性があり、極めて深刻な脅威です。
また、リモートからSSHDのクラッシュを引き起こされる可能性もあります。
攻撃者がSSHサービスを意図的にクラッシュさせることで、サービス拒否(DoS)攻撃を引き起こす可能性があります。
これにより、正当なユーザーのSSH接続が妨げられ、システムの可用性が著しく損なわれる恐れがあります。
特に、VPSなどのリモート管理に依存している環境では、運用に重大な支障をきたす可能性があります。
これらの影響は、システムのセキュリティと安定性に重大なリスクをもたらします。そのため、速やかな対策が不可欠です。
広告UbuntuでCVE-2024-6387に対処する4ステップ
Ubuntuシステムでこの脆弱性に対処するには、以下の手順を実行します。
- バージョン確認
- システム更新
- 設定ファイルの修正
- SSHサービスの再起動
これらの手順は、システムのセキュリティを確保するために重要ですので、注意深く実行してください。
バージョン確認
まず、現在インストールされているOpenSSHのバージョンを確認します。
これにより、お使いのシステムが脆弱性の影響を受けるバージョンかどうかを判断できます。
ssh -V
このコマンドを実行すると、インストールされているOpenSSHのバージョンが表示されます。
システム更新
次に、システムとOpenSSHサーバーを最新の状態に更新します。
これにより、利用可能な最新のセキュリティパッチが適用されます。
sudo apt update
sudo apt upgrade openssh-server
これらのコマンドを実行することで、システムのパッケージリストが更新されます。
また、OpenSSHサーバーが最新バージョンにアップグレードされます。
アップデート後のバージョンが「OpenSSH 9.8p1以上」であれば以下の「設定ファイルの修正」は不要です!
設定ファイルの修正
「OpenSSH 8.5p1以上、9.8p1未満」の場合、脆弱性に対する一時的な対策が必要です。
そのため、SSHの設定ファイルを修正します!
この修正により、脆弱性を悪用するための条件を無効化します。
sudo nano /etc/ssh/sshd_config
このコマンドでSSHの設定ファイルを開きます。
ファイル内で以下の行を修正します。
LoginGraceTime 0
この設定により、ログイン猶予時間が無制限になり、脆弱性の悪用を防ぐことができます。
ただし、この設定はサービス拒否(DoS)攻撃に対して脆弱になる可能性があるため、恒久的な解決策ではありません。
SSHサービスの再起動
設定変更を反映させるために、SSHサービスを再起動します。
sudo systemctl restart sshd
このコマンドにより、新しい設定が適用され、SSHサービスが再起動されます。
これらの対応策を実施することで、CVE-2024-6387の脆弱性から一時的に保護されます。
「LoginGraceTime 0」の意味と、CVE-2024-6387との関連性
SSH設定の「LoginGraceTime 0」は、ログイン処理の制限時間を撤廃します。
この設定により、ユーザーは認証完了まで無制限の時間を持つことになりました。
通常、この設定はセキュリティリスクを増大させる可能性があります。
しかし、CVE-2024-6387への対処では有効です。
CVE-2024-6387は、ログイン処理中に発生する可能性のある脆弱性でした。
制限時間の撤廃により、この脆弱性の悪用リスクが低減されます。
通常、短いログイン制限時間がセキュリティ上好ましいとされています。
しかし、この脆弱性に対しては、制限時間撤廃が効果的な防御策となるのです。
注意点と対策
この設定には「DoS攻撃リスクの増加」という注意点があります。
そのため、この設定はCVE-2024-6387に対する一時的な対策となるでしょう。
恒久的な修正がリリースされたら、速やかに適用し、通常のLoginGraceTime設定に戻す必要があります。
広告【まとめ】脆弱性はすぐに対処しよう
OpenSSHの脆弱性(CVE-2024-6387)は、システムに深刻な影響を与える可能性があります。
リモートからの任意のコード実行やSSHDのクラッシュなど、重大なセキュリティリスクが存在します。
早急に対策を行うことが極めて重要です。
上記の手順に従って、システムの更新と設定変更を行ってください。
また、恒久的な修正がリリースされた際には、速やかに適用することを忘れないでください。
【補足】Ubuntuからの公式情報
公式情報は以下のURLで確認できます。