GNU Bash における OS コマンドインジェクションの脆弱性(Shellshock)(Scan Tech Report)
GNU Bash(Ver 4.3 及びそれ以前)には、外部からの入力が環境変数に設定されるような環境においてリモートから任意のコマンドを実行される脆弱性が報告されています。
脆弱性と脅威
GNU Bash(Ver 4.3 及びそれ以前)には、外部からの入力が環境変数に設定されるような環境においてリモートから任意のコマンドを実行される脆弱性が報告されています(CVE-2014-6271,CVE-2014-6278)。
本脆弱性は、「Shellshock」と呼ばれており、既に攻撃手法が公開されていることから被害も数多く報告されています。影響も広範囲に及ぶため、可能な限り下記対策の実施を推奨します。
2.深刻度(CVSS)
10.0
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004410.html
3.影響を受けるソフトウェア
以下のバージョンが本脆弱性の影響を受けます。
- Bash 4.3 Patch 28 およびそれ以前
- Bash 4.2 Patch 51 およびそれ以前
- Bash 4.1 Patch 15 およびそれ以前
- Bash 4.0 Patch 42 およびそれ以前
- Bash 3.2 Patch 55 およびそれ以前
- Bash 3.1 Patch 21 およびそれ以前
- Bash 3.0 Patch 20 およびそれ以前
※Debian, Fedora などの Linux ディストリビューションに含まれる Bash パッケージについてもこの脆弱性の影響を受けます。
4.解説
GNU Bash は、様々な機器(Linux, BSD, Mac OS X を含むUNIX系OS)や、組み込み機器などで利用されています。
GNU Bashには、新しくBashのインスタンスが生成された際に、環境変数に記述されたシェル関数の定義を読み込み、設定する機能が存在します。この環境変数の読み込み処理の際、特定文字列が入っていると、それに続く文字列をコードとして扱ってしまう問題が存在します。
一見影響はローカル環境に止まりそうですが、CGI、SMTP、DHCP等のサービスでは、内部でOSコマンドを実行する際、外部からの入力が環境変数へと引き渡されるためリモートからでも任意のOSコマンドの実行が可能となります。
公開されているExploitでは、任意のコード実行が可能な脆弱性としてCVE-2014-6271とCVE-2014-6278、2つの脆弱性が利用されています。
Shellshockとして最初に報告されたCVE-2014-6271では、環境変数にシェル関数の定義に続き、";"が入っている場合、その後の文字列がOSコマンドとして処理されてしまうという問題点があります。
その後、この問題点に対しベンダーは修正パッチを公開しましたが、修正が不十分であり、未だコード実行が可能であることがセキュリティ研究者Michal Zalewskiにより報告されました(CVE-2014-6278)。※1
このCVE-2014-6278では、環境変数にシェル関数の定義に続き、">_[$($())]"のような文字列があった場合、ネストされた"$($())"という文字列により環境変数の読み込みが適切に行われず、その後の文字列をOSコマンドとして処理してしまう問題点が報告されています。この問題点に対しても、ベンダーから追加で修正パッチが公開されています。
最終的に、関連するCVEは6つに渡り(CVE-2014-6271,CVE-2014-7169,CVE-2014-7186,CVE-2014-7187,CVE-2014-6277,CVE-2014-6278)、根本的な脆弱性の解消のためには全ての問題点が修正済みのパッチバージョンを適用する必要があります。修正済みバージョンについては下記対策を確認してください。
※1 http://lcamtuf.blogspot.com/2014/10/bash-bug-how-we-finally-cracked.html
また、NASデバイス「QNAP」における本脆弱性を悪用するワームが出現しており、国内でも本脆弱性を対象としたと推測される攻撃が確認されています。今後もShellshockを使用する攻撃は継続すると考えられますので、引き続き警戒が必要です。※2
※2 https://www.jpcert.or.jp/at/2014/at140055.txt
5.対策
以下のWebサイトより、次に示す修正済みバージョン以降を入手しアップデートする、あるいは修正パッチを適用することでこの脆弱性を解消することが可能です。
修正済みのバージョンは、以下の通りです。
- Bash 4.3 Patch 29
- Bash 4.2 Patch 52
- Bash 4.1 Patch 16
- Bash 4.0 Patch 43
- Bash 3.2 Patch 56
- Bash 3.1 Patch 22
- Bash 3.0 Patch 21
GNU Bash Patch
http://ftp.gnu.org/gnu/bash/
また、 Linux ディストリビューションにおいては、それぞれのベンダが提供するセキュリティアドバイザリを参考に、適切なパッケージを入手しアップデートすることで、この脆弱性を解消することが可能です。
Red Hat
https://access.redhat.com/ja/articles/1210893
CentOS
http://wiki.centos.org/Security/Shellshock
Ubuntu
http://www.ubuntu.com/usn/usn-2380-1/
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
関連リンク
編集部おすすめの記事
特集
株式会社ラック(LAC)
-
TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
2024 年 3 月に公開された、JetBrains 社の TeamCitry の脆弱性…
-
Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report)
-
FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性(Scan Tech Report)
-
2023年にネットバンキングの不正送金が急増した理由
-
Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report)
-
ラックが2024年3月期 通期決算を公表、売上高は前期比12.4%増
-
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
Scan Tech Report
-
TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
2024 年 3 月に公開された、JetBrains 社の TeamCitry の脆弱性…
-
Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report)
-
FileCatalyst Workflow における任意のコード実行につながるパストラバーサルの脆弱性(Scan Tech Report)
-
Nagios XI の monitoringwizard.php における SQL Injection の脆弱性(Scan Tech Report)
-
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)
-
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
-
Cacti における遠隔コード実行につながる複数の脆弱性(Scan Tech Report)
-
Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)
Scan PREMIUM 倶楽部
-
レッドチーム演習大成功 丸五か月間誰も気づけず
CISA は、これを「SILENTSHIELD 評価」と呼んでいる。CISA の…
-
今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか
-
ランサムウェア集団が謝罪
-
TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)
-
裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]
-
開発元にソフトウェアの製造責任を負わせるのは合理的?
-
支払額倍増の場合も ~ オラクルが Fortune 200 へ Java ライセンスに関する監査書送付を開始
-
被告:CISO ~ 実例で考える CISO が訴訟されるリスク
脆弱性と脅威 アクセスランキング
-
「ポケモンセンターオンライン」を装ったフィッシングサイトに注意喚起(ポケモンセンター)
-
NETGEAR 製ルータにバッファオーバーフローの脆弱性
-
JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説~対策マニュアルとしても有効
-
PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも
-
Assimp にヒープベースのバッファオーバーフローの脆弱性
-
HOME SPOT CUBE2 に複数のバッファオーバーフローの脆弱性
-
「GROWI」にWebブラウザ上で任意のスクリプトを実行される複数の脆弱性(JVN)
-
同日に再攻撃やフリーツール悪用も、2022年下半期 IPA 届出事例
-
「マンションのWi-Fiが遅いから切り替えます」関係者装った悪質勧誘が横行、法に基づき社名を公表(消費者庁)
-
Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)