セキュアシェル (SSH) バグを利用した攻撃に関する追加情報 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

セキュアシェル (SSH) バグを利用した攻撃に関する追加情報

国際 海外情報

概要:
 脆弱性を持つセキュアシェル (SSH) サーバーへの攻撃に関し、新しい情報がカーネギーメロン大学のコンピュータ緊急対応センター (CERT/CC) から発表された。

 2001年10月31日、iDEFENSE情報局は、脆弱性を持つSSHサーバーに対するスキャンが明らかに増加していることについて報告した。これは、SSH CRC-32の攻撃手法を取りいれた、新たな攻撃ツールのリリースが原因だと思われる (10/31/01付 ID# 106063参照)。11月5日に CERT/CCは、そのような攻撃がログファイルに書き込まれるシグニチャーについて説明した報告書を発行した:

1.攻撃方法は、「総当たり攻撃 (brute force attack)」の手法を取りいれているようだ
2.攻撃者の行動を隠すため、標準のシステム・ユーティリティファイルを変更する rootkitがインストールされる
3.最新のオープンSSHのソースコードと、攻撃者が作成する変更コードからコンパイルされた、トロイの木馬型の SSHソフトがインストールされる
4.脆弱性な SSHシステムのスキャンを、大型ネットワークブロック単位で実施するツールがインストールされる。このツールが残したログファイルから判断すると、スキャンの実施方法は、sshdへ接続した際に表示されるバナーを見る、という方法のようだ。

情報ソース:
CERT Coordination Center (Incident Note IN-2001-12) Nov. 05, 2001
http://www.cert.org/incident_notes/IN-2001-12.html

分析:
 SSH CRC-32のバグを利用した攻撃は、スタック変数、malloc構造などの変更が可能になる。この攻撃を遠隔から行う為には、SSHデーモンがキー交換シナリオを実行するようなIPアドレスから、TCP接続を実施する必要がある。

検知方法:
 以下の製品が影響を受ける。

Cisco Systems Inc.
Catalyst 6000 6.2(0.110)
IOS 12.0S and 12.1xx-12.2xx
PIX Firewall 5.2(5) and 5.3(1)

SSH Communications Security Ltd.
SSH 1.2.24-1.2.31, and 2.x and 3.x (if SSH Version 1 fallback is enabled)

F-Secure Corp.
SSH versions before 1.3.11-2

OpenSSH
OpenSSH versions before 2.3.0 (if SSH Version 1 fallback is enabled)

OSSH (by Bjoern Groenvall)
OSSH 1.5.7

ベンダー情報:
 SSHの構成を調査した上、パッチを当てる必要性を調べる。また、SSHバージョン1による代替接続 (connection fallback)がまだ使用可能となっているか確認する。SSHバージョン1を使用していなければ、connection fallbackを無効にし、古いsshd バージョン1のバイナリーを取り外す。ユーザーは、SSHバージョン2へアップグレードすることを推奨する。詳細は以下の通り:

・Cisco
 http://www.cisco.com/warp/public/707/SSH-multiple-pub.html
・SSH Communications Security:
 http://www.ssh.com/products/ssh/advisories/ssh1_crc-32.cfm
・F-Secure
 http://www.f-secure.com/support/ssh/
・OpenSSH: OpenSSH 2.9.9,(影響無いと言われているが)
 ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-2.9.9.tgz
・OSSH: Version 1.5.12, (影響無いと言われているが)
 ftp://ftp.pdc.kth.se/pub/krypto/ossh/ossh-1.5.12.tar.gz .


(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【17:54 GMT、11、6、2001】


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×