-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2005-0003 JPCERT/CC 2005-03-09 (初版) 2005-03-14 (更新) <<< JPCERT/CC Alert 2005-03-09 >>> OpenSSH の脆弱性を使ったシステムへの侵入に関する注意喚起 Intrusion Using Vulnerabilities of OpenSSH http://www.jpcert.or.jp/at/2005/at050003.txt I. 概要 JPCERT/CC では、OpenSSH の既知の脆弱性を使ったシステムへの侵入の報告 を、複数受領しています。 特に、インストール時の状態のままになっている、比較的古い OpenSSH を 使ってリモートアクセスを許可しているサーバに、第三者が侵入するケースが 多数見受けられます。また、侵入を受けてから Web 偽装詐欺 (phishing) の 踏み台サーバにされるなどの事例が、今年 1月以降10件以上報告されています。 (2005-03-14 修正) Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起 http://www.jpcert.or.jp/at/2005/at050002.txt II. 対策方法 OpenSSH を使ってリモートアクセスを許可しているサーバにおいて、以下の 項目を改めてご確認ください。 (1) 使用している OpenSSH の脆弱性対策 使用している OpenSSH について、既知の脆弱性への対策が施さ れていることが確認できない場合は、OpenSSH を速やかに更新す るよう、強くお勧めします。 既知の脆弱性に関して既に対策が施されている場合には、最新版 への更新は必須ではありません。2005 年 3 月 14 日現在、 OpenSSH の最新バージョンは 2005 年 3 月9 日リリースの 4.0 (オリジナル版) および 4.0p1 (ポータブル版) となりますが、 オリジナル版 3.7.1 およびそれ以降、また、ポータブル版 3.7.1p2 およびそれ以降の OpenSSH には、公知の脆弱性はあり ません。 各 OS のパッケージとして提供されている OpenSSH については、 以前のバージョン番号を保ったまま、既知の脆弱性への対策が施 されているものがあります。パッケージ個別のバージョンに関し ての詳細は各 OS のベンダや配布元が提供する情報を確認してく ださい。 (2) 現在のアクセス制限の状況 OpenSSH サーバプログラムの設定ファイルなどを参照し、現在の アクセス制限の状況を確認してください。確認した結果、IP ア ドレスベースまたはホスト名ベースでのアクセス制限が行われて おらず、どのホストからでもアクセスが許可されている場合は、 IP アドレスまたはホスト名によるアクセス制限の導入を検討す るよう強くお勧めします。 OpenSSH は、IP アドレスまたはホスト名によるアクセス制限が 可能です。 (3) 現時点で有効となっている認証方法 OpenSSH サーバプログラムの設定ファイルを参照し、現時点で有 効となっている認証方法を確認してください。確認した結果、 UNIX パスワード認証が有効となっている場合は、UNIX パスワー ド認証を無効にするよう強くお勧めします。 OpenSSH は、認証方法として、UNIX パスワード認証の他に、公 開鍵認証、S/Key 認証などのより安全な認証方法を利用できます。 また、同時に root によるログインを無効にしておくなど、ログ イン可能なユーザを制限することも併せて強くお勧めします。 (4) パスワード総当たり攻撃に関する追加情報 (2005-03-14 追記) 既知の脆弱性に関して既に対策が施されている OpenSSH を使用 している場合でも、既知のアカウントに対して総当たり攻撃を行 うことによってパスワードを取得し、第三者が侵入するケースが 報告されています。 このようなケースでの侵入を防ぐために、不要になったユーザア カウントを無効にする、各ユーザならびに管理者のパスワードを 総当たり攻撃に対して強いものにする、(3) で紹介したように、 UNIX パスワード認証を無効にする、などの対策が推奨されます。 なお、OpenSSH サーバプログラムが動作しているホストに対して 総当たり攻撃を行うツールが存在していることも確認されていま す。 (1) に関しては、以下の URL で公開されている文書も併せて参照してくだ さい。 OpenSSH Security http://www.openssh.com/security.html (日本語訳) OpenSSH セキュリティ http://www.openssh.com/ja/security.html (2) および (3) に関しては、以下の URL で公開されている文書も併せて参 照してください。 IPA/ISEC セキュアなWebサーバーの構築と運用 4.2.1 OpenSSHのインストールと設定 http://www.ipa.go.jp/security/awareness/administrator/secure-web/chap4/4_openssh.html (4) に関しては、以下の URL で公開されている文書も併せて参照してくだ さい。 JPCERT/CC REPORT 2004-11-04号 [今週の一口メモ] パスワードの決定 http://www.jpcert.or.jp/wr/2004/wr044301.txt JPCERT/CC REPORT 2004-04-21号 [今週の一口メモ] ユーザアカウントとパスワードの整理 http://www.jpcert.or.jp/wr/2004/wr041601.txt なお、速やかに対策を施すことが困難な場合は、そのホストをネットワーク から切り離す、OpenSSH を使ったリモートアクセスの提供を中止する、などの 回避策をご検討ください。 対策を検討する際には、以下の URL で公開されている文書も併せて参照し てください。 IPA/ISEC 小規模サイト管理者向け セキュリティ対策マニュアル http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/ セキュリティ はじめの一歩 http://www.linux.or.jp/security/firststep.html Linux Security HOWTO http://www.linux.or.jp/JF/JFdocs/Security-HOWTO.html III. 参考情報 OpenSSH サーバプログラムの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020004.txt IPA/ISEC OpenSSH のチャレンジ・レスポンス処理における脆弱性 http://www.ipa.go.jp/security/ciadr/20020627openssh.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 __________ 改訂履歴 2005-03-09 初版 2005-03-10 OpenSSH 4.0 および 4.0p1 公開について追記 2005-03-11 phishing に関する報告件数の情報を追加 2005-03-14 既知の脆弱性を含まない OpenSSH のバージョンを明記して修正 パスワード総当たり攻撃に関する追加情報を追記 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQjVEAYx1ay4slNTtAQHjQQQA2ZzzwAwkPEfqsvuA+6tEkt7MS8YgsLQP rbXLXzQtD5kveM+INmYVM1OuFW/J8BNr9oyE/OSl5qwX4RfsHX1pLL/fHwe72Vjg 4wNYxH8S0/4LzFObpTXoW2dgdmJ1o6iKz0HHUOGP1hjkqFeN9K+yDIWo+MpvKcBG Pfqm2ioWjcw= =f7f7 -----END PGP SIGNATURE-----