GNU Bash における OS コマンドインジェクションの脆弱性(Shellshock)(Scan Tech Report)
GNU Bash(Ver 4.3 及びそれ以前)には、外部からの入力が環境変数に設定されるような環境においてリモートから任意のコマンドを実行される脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
GNU Bash(Ver 4.3 及びそれ以前)には、外部からの入力が環境変数に設定されるような環境においてリモートから任意のコマンドを実行される脆弱性が報告されています(CVE-2014-6271,CVE-2014-6278)。
本脆弱性は、「Shellshock」と呼ばれており、既に攻撃手法が公開されていることから被害も数多く報告されています。影響も広範囲に及ぶため、可能な限り下記対策の実施を推奨します。
2.深刻度(CVSS)
10.0
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-004410.html
3.影響を受けるソフトウェア
以下のバージョンが本脆弱性の影響を受けます。
- Bash 4.3 Patch 28 およびそれ以前
- Bash 4.2 Patch 51 およびそれ以前
- Bash 4.1 Patch 15 およびそれ以前
- Bash 4.0 Patch 42 およびそれ以前
- Bash 3.2 Patch 55 およびそれ以前
- Bash 3.1 Patch 21 およびそれ以前
- Bash 3.0 Patch 20 およびそれ以前
※Debian, Fedora などの Linux ディストリビューションに含まれる Bash パッケージについてもこの脆弱性の影響を受けます。
4.解説
GNU Bash は、様々な機器(Linux, BSD, Mac OS X を含むUNIX系OS)や、組み込み機器などで利用されています。
GNU Bashには、新しくBashのインスタンスが生成された際に、環境変数に記述されたシェル関数の定義を読み込み、設定する機能が存在します。この環境変数の読み込み処理の際、特定文字列が入っていると、それに続く文字列をコードとして扱ってしまう問題が存在します。
一見影響はローカル環境に止まりそうですが、CGI、SMTP、DHCP等のサービスでは、内部でOSコマンドを実行する際、外部からの入力が環境変数へと引き渡されるためリモートからでも任意のOSコマンドの実行が可能となります。
公開されているExploitでは、任意のコード実行が可能な脆弱性としてCVE-2014-6271とCVE-2014-6278、2つの脆弱性が利用されています。
Shellshockとして最初に報告されたCVE-2014-6271では、環境変数にシェル関数の定義に続き、";"が入っている場合、その後の文字列がOSコマンドとして処理されてしまうという問題点があります。
その後、この問題点に対しベンダーは修正パッチを公開しましたが、修正が不十分であり、未だコード実行が可能であることがセキュリティ研究者Michal Zalewskiにより報告されました(CVE-2014-6278)。※1
このCVE-2014-6278では、環境変数にシェル関数の定義に続き、">_[$($())]"のような文字列があった場合、ネストされた"$($())"という文字列により環境変数の読み込みが適切に行われず、その後の文字列をOSコマンドとして処理してしまう問題点が報告されています。この問題点に対しても、ベンダーから追加で修正パッチが公開されています。
最終的に、関連するCVEは6つに渡り(CVE-2014-6271,CVE-2014-7169,CVE-2014-7186,CVE-2014-7187,CVE-2014-6277,CVE-2014-6278)、根本的な脆弱性の解消のためには全ての問題点が修正済みのパッチバージョンを適用する必要があります。修正済みバージョンについては下記対策を確認してください。
※1 http://lcamtuf.blogspot.com/2014/10/bash-bug-how-we-finally-cracked.html
また、NASデバイス「QNAP」における本脆弱性を悪用するワームが出現しており、国内でも本脆弱性を対象としたと推測される攻撃が確認されています。今後もShellshockを使用する攻撃は継続すると考えられますので、引き続き警戒が必要です。※2
※2 https://www.jpcert.or.jp/at/2014/at140055.txt
5.対策
以下のWebサイトより、次に示す修正済みバージョン以降を入手しアップデートする、あるいは修正パッチを適用することでこの脆弱性を解消することが可能です。
修正済みのバージョンは、以下の通りです。
- Bash 4.3 Patch 29
- Bash 4.2 Patch 52
- Bash 4.1 Patch 16
- Bash 4.0 Patch 43
- Bash 3.2 Patch 56
- Bash 3.1 Patch 22
- Bash 3.0 Patch 21
GNU Bash Patch
http://ftp.gnu.org/gnu/bash/
また、 Linux ディストリビューションにおいては、それぞれのベンダが提供するセキュリティアドバイザリを参考に、適切なパッケージを入手しアップデートすることで、この脆弱性を解消することが可能です。
Red Hat
https://access.redhat.com/ja/articles/1210893
CentOS
http://wiki.centos.org/Security/Shellshock
Ubuntu
http://www.ubuntu.com/usn/usn-2380-1/
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
インシデント・事故
今日もどこかで情報漏えい 第9回「2023年2月の情報漏えい」メール誤送信で懲戒 ほか
病院は、故意であると断定はできないが当該医師の過失責任は重大であるとし、出勤停止 2 か月間の懲戒処分を行ったが、本人が依願退職した。
-
ランサムウェア感染を隠蔽したソフトウェア企業の末路
2020 年 5 月、Blackbaud はランサムウェアに感染し、黙って犯人に支払いを済ませたが、同年 7 月までセキュリティ侵害について顧客に知らせなかった。
-
Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性(Scan Tech Report)
2023 年 1 月に Adobe 社の Acrobat Reader DC をはじめとする PDF 閲覧ソフトウェアに、遠隔コード実行が可能となる脆弱性が公開されています。
-
ペネトレーションテスターは見た! 第10回「ペネトレーションテストを超えたペネトレーションテスト」
最後にペネトレーションテストをやる側と、ユーザー企業として発注する側で、何かこういうところに気をつけるといいポイントがあれば最後にまとめとしていただけないでしょうか。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

Windows 11のスクリーンショット、黒塗りを復元できる可能性

警視庁が Emotet 注意喚起、感染時の対処について

Adobe 社の PDF 閲覧ソフトウェアの JavaScript エンジンでの resetForm メソッドにおける Use-After-Free の脆弱性(Scan Tech Report)

Joomla!の脆弱性を狙った攻撃をMBSD SOCで観測

Microsoft OneNote形式のファイルを悪用した Emotet の新たな手口を確認

Windows DNSサーバの脆弱性情報が公開
インシデント・事故 記事一覧へ

今日もどこかで情報漏えい 第9回「2023年2月の情報漏えい」メール誤送信で懲戒 ほか

「三京商会 公式ショップ」への不正アクセスで8,794名のカード情報が漏えい

「まんが王国」でのシステム障害で他人のメールアドレスが閲覧可能に

ゴルフ場運営ウッドフレンズ運営の3サイトに不正アクセス、個人情報が漏えい

富士通 FENICS のネットワーク機器での不正通信、「ゴールドウインファミリーセール」の会員情報管理システムにも影響

ラウンドワンのホームページが改ざん被害、不適切なWebページに誘導
調査・レポート・白書・ガイドライン 記事一覧へ

健診施設へのアンケート結果公表、年間セキュリティ予算500万円未満が4割弱 ~ 医療 ISAC 調査

情報漏えい「謝罪実態調査」~ 最も許せる お詫びの品が送られてくるタイミングは?

“判明した時点で第一報的公表を検討することが望ましい” ~「サイバー攻撃被害に係る情報の共有・公表ガイダンス」公表

セキュリティを知らないと思われたくない ~ はずかしがりやの経営層 24ヶ国 2,300人調査

15%がランサムウェア被害経験「セキュリティ対策に関する調査結果レポート」公表

こどもにつたえるせきゅりてぃ ~ Proofpointサイバーセキュリティ絵本
研修・セミナー・カンファレンス 記事一覧へ

Azure AD おまえもか、クラウド オンプレ両参加のデバイスに潜む危険

NECソリューションイノベータが提供する「ゼロトラスト」のレシピと製法 ~ 3/23 オンラインセミナー開催

おろそかになるゲートウェイ「2022年の事件事故から考えるセキュリティ運用」ウェビナー開催

OSINT を安易に考えるな ~ 日本ハッカー協会 杉浦氏講演

大阪で「サイバーセキュリティ・プロレス」開催! セキュリティ・ミニキャンプ in 大阪 2023

しんどいのは受信者だけじゃない?送信側が抱えるあんな悩み、こんな悩み ~ JPAAWG 5th General Meetingレポート-4
製品・サービス・業界動向 記事一覧へ

JPCERT/CC「EmoCheck v2.4.0」リリース、3月に再開したEmotetの戦術変化に対応

高校教師 研究者 弁護士 自衛官 社長 CISO アナリスト フィッシングハンターほか 12 職種 ~ LAC「サイバーセキュリティ仕事ファイル 2」

GMOイエラエ「空飛ぶクルマ」の有人実証飛行に協力

GitHub 上の全パブリックリポジトリで Secret scanning アラート提供

リチェルカセキュリティ、サイバーセキュリティ技術者向けトレーニング提供
