新たに発見されたOpenSSHの脆弱性が、リモートコード実行(RCE)のリスクをもたらす可能性があることが明らかになった。この脆弱性はCVE-2024-6409として追跡され、CVSSスコアは7.0である。この問題は、Red Hat Enterprise Linux 9に搭載されたOpenSSHのバージョン8.7p1および8.8p1に影響を与える。セキュリティ研究者のAlexander Peslyak(別名Solar Designer)がこのバグを発見し、報告した。この脆弱性は、信号処理における競合状態により、privsep子プロセスでのコード実行が可能になるという点で、以前にQualysによって公開されたCVE-2024-6387(別名RegreSSHion)とは異なる。
CVE-2024-6387と同様の信号ハンドラ競合状態の脆弱性が存在し、OpenSSHデーモンプロセスのSIGALRMハンドラが非同期に呼び出されることで、非同期シグナルセーフでない様々な関数を呼び出す可能性がある。この問題により、攻撃者は最悪の場合、sshdサーバーを実行している非特権ユーザー内でリモートコード実行(RCE)を実行できる可能性がある。
CVE-2024-6387のアクティブなエクスプロイトが野生で検出され、主に中国に位置するサーバーを対象とした未知の脅威アクターによる攻撃が報告されている。攻撃の初期ベクトルは、脆弱なSSHサーバーの攻撃を自動化するためのツールやスクリプトをホストしていると報告されたIPアドレス108.174.58[.]28から発生している。
【ニュース解説】
最近、OpenSSHの新たな脆弱性が発見され、リモートコード実行(RCE)のリスクがあることが明らかになりました。この脆弱性はCVE-2024-6409として識別され、CVSSスコアは7.0と評価されています。影響を受けるのは、Red Hat Enterprise Linux 9に搭載されたOpenSSHのバージョン8.7p1および8.8p1です。この問題は、信号処理における競合状態から、privsep子プロセスでのコード実行が可能になるというもので、これは以前に報告されたCVE-2024-6387とは異なる特徴を持っています。
この脆弱性の発見者であるセキュリティ研究者のAlexander Peslyak(別名Solar Designer)によると、この問題の根本原因は、OpenSSHデーモンプロセスのSIGALRMハンドラが非同期に呼び出され、非同期シグナルセーフでない関数を呼び出す可能性がある点にあります。これにより、攻撃者が最悪の場合、sshdサーバーを実行している非特権ユーザー内でリモートコード実行を行うことが可能になります。
さらに、CVE-2024-6387に関連するアクティブなエクスプロイトが既に検出されており、特に中国に位置するサーバーが攻撃の対象となっています。これは、脆弱なSSHサーバーの攻撃を自動化するツールやスクリプトをホストしているとされるIPアドレスからの攻撃であることが報告されています。
この脆弱性の発見と公表は、セキュリティコミュニティにとって重要な意味を持ちます。まず、システム管理者やセキュリティ担当者は、影響を受けるOpenSSHのバージョンを使用している場合、速やかに対策を講じる必要があります。これには、パッチの適用や、可能であれば影響を受けるバージョンからのアップグレードが含まれます。
また、この脆弱性は、セキュリティの専門家にとって、信号処理の競合状態という比較的複雑な問題に対する理解を深める機会を提供します。特に、非同期シグナルセーフでない関数の呼び出しによるリスクは、ソフトウェアの設計と実装において重要な考慮事項です。
長期的な視点では、このような脆弱性の発見と修正は、OpenSSHのような広く使用されているセキュリティソフトウェアの堅牢性を高めることに貢献します。しかし、攻撃者が新たな脆弱性を見つけ出し、悪用する可能性は常に存在するため、セキュリティは継続的な努力が必要な分野であることが改めて強調されます。
from New OpenSSH Vulnerability Discovered: Potential Remote Code Execution Risk.
