各位
OpenSSH の脆弱性を使ったシステムへの侵入に関する注意喚起
Intrusion Using Vulnerabilities of OpenSSH
http://www.jpcert.or.jp/at/2005/at050003.txt
I. 概要
JPCERT/CC では、OpenSSH の既知の脆弱性を使ったシステムへの侵入の報告を、複数受領しています。
特に、インストール時の状態のままになっている、比較的古い OpenSSH を使ってリモートアクセスを許可しているサーバに、第三者が侵入するケースが多数見受けられます。また、侵入を受けてから Web 偽装詐欺 (phishing) の踏み台サーバにされるなどの事例が、今年 1月以降10件以上報告されています。(2005-03-14 修正)
Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起
http://www.jpcert.or.jp/at/2005/at050002.txt
II. 対策方法
OpenSSH を使ってリモートアクセスを許可しているサーバにおいて、以下の項目を改めてご確認ください。
(1) 使用している OpenSSH の脆弱性対策
使用している OpenSSH について、既知の脆弱性への対策が施さ
れていることが確認できない場合は、OpenSSH を速やかに更新す
るよう、強くお勧めします。
既知の脆弱性に関して既に対策が施されている場合には、最新版
への更新は必須ではありません。2005 年 3 月 14 日現在、
OpenSSH の最新バージョンは 2005 年 3 月9 日リリースの 4.0
(オリジナル版) および 4.0p1 (ポータブル版) となりますが、
オリジナル版 3.7.1 およびそれ以降、また、ポータブル版
3.7.1p2 およびそれ以降の OpenSSH には、公知の脆弱性はあり
ません。
各 OS のパッケージとして提供されている OpenSSH については、
以前のバージョン番号を保ったまま、既知の脆弱性への対策が施
されているものがあります。パッケージ個別のバージョンに関し
ての詳細は各 OS のベンダや配布元が提供する情報を確認してく
ださい。
(2) 現在のアクセス制限の状況
OpenSSH サーバプログラムの設定ファイルなどを参照し、現在の
アクセス制限の状況を確認してください。確認した結果、IP ア
ドレスベースまたはホスト名ベースでのアクセス制限が行われて
おらず、どのホストからでもアクセスが許可されている場合は、
IP アドレスまたはホスト名によるアクセス制限の導入を検討す
るよう強くお勧めします。
OpenSSH は、IP アドレスまたはホスト名によるアクセス制限が
可能です。
(3) 現時点で有効となっている認証方法
OpenSSH サーバプログラムの設定ファイルを参照し、現時点で有
効となっている認証方法を確認してください。確認した結果、
UNIX パスワード認証が有効となっている場合は、UNIX パスワー
ド認証を無効にするよう強くお勧めします。
OpenSSH は、認証方法として、UNIX パスワード認証の他に、公
開鍵認証、S/Key 認証などのより安全な認証方法を利用できます。
また、同時に root によるログインを無効にしておくなど、ログ
イン可能なユーザを制限することも併せて強くお勧めします。
(4) パスワード総当たり攻撃に関する追加情報 (2005-03-14 追記)
既知の脆弱性に関して既に対策が施されている OpenSSH を使用
している場合でも、既知のアカウントに対して総当たり攻撃を行
うことによってパスワードを取得し、第三者が侵入するケースが
報告されています。
このようなケースでの侵入を防ぐために、不要になったユーザア
カウントを無効にする、各ユーザならびに管理者のパスワードを
総当たり攻撃に対して強いものにする、(3) で紹介したように、
UNIX パスワード認証を無効にする、などの対策が推奨されます。
なお、OpenSSH サーバプログラムが動作しているホストに対して
総当たり攻撃を行うツールが存在していることも確認されていま
す。
(1) に関しては、以下の URL で公開されている文書も併せて参照してください。
OpenSSH Security
http://www.openssh.com/security.html
(日本語訳)
OpenSSH セキュリティ
http://www.openssh.com/ja/security.html
(2) および (3) に関しては、以下の URL で公開されている文書も併せて参照してください。
IPA/ISEC セキュアなWebサーバーの構築と運用
4.2.1 OpenSSHのインストールと設定
http://www.ipa.go.jp/security/awareness/administrator/secure-web/chap4/4_openssh.html
(4) に関しては、以下の URL で公開されている文書も併せて参照してください。
JPCERT/CC REPORT 2004-11-04号 [今週の一口メモ]
パスワードの決定
http://www.jpcert.or.jp/wr/2004/wr044301.txt
JPCERT/CC REPORT 2004-04-21号 [今週の一口メモ]
ユーザアカウントとパスワードの整理
http://www.jpcert.or.jp/wr/2004/wr041601.txt
なお、速やかに対策を施すことが困難な場合は、そのホストをネットワークから切り離す、OpenSSH を使ったリモートアクセスの提供を中止する、などの回避策をご検討ください。
対策を検討する際には、以下の URL で公開されている文書も併せて参照してください。
IPA/ISEC
小規模サイト管理者向け セキュリティ対策マニュアル
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/
セキュリティ はじめの一歩
http://www.linux.or.jp/security/firststep.html
Linux Security HOWTO
http://www.linux.or.jp/JF/JFdocs/Security-HOWTO.html
III. 参考情報
OpenSSH サーバプログラムの脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2002/at020004.txt
IPA/ISEC
OpenSSH のチャレンジ・レスポンス処理における脆弱性
http://www.ipa.go.jp/security/ciadr/20020627openssh.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2005-03-09 初版
2005-03-10 OpenSSH 4.0 および 4.0p1 公開について追記
2005-03-11 phishing に関する報告件数の情報を追加
2005-03-14 既知の脆弱性を含まない OpenSSH のバージョンを明記して修正
パスワード総当たり攻撃に関する追加情報を追記
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2005-0003
JPCERT/CC
2005-03-09 (初版)
2005-03-14 (更新)
JPCERT/CC Alert 2005-03-09
OpenSSH の脆弱性を使ったシステムへの侵入に関する注意喚起
Intrusion Using Vulnerabilities of OpenSSH
http://www.jpcert.or.jp/at/2005/at050003.txt
I. 概要
JPCERT/CC では、OpenSSH の既知の脆弱性を使ったシステムへの侵入の報告を、複数受領しています。
特に、インストール時の状態のままになっている、比較的古い OpenSSH を使ってリモートアクセスを許可しているサーバに、第三者が侵入するケースが多数見受けられます。また、侵入を受けてから Web 偽装詐欺 (phishing) の踏み台サーバにされるなどの事例が、今年 1月以降10件以上報告されています。(2005-03-14 修正)
Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起
http://www.jpcert.or.jp/at/2005/at050002.txt
II. 対策方法
OpenSSH を使ってリモートアクセスを許可しているサーバにおいて、以下の項目を改めてご確認ください。
(1) 使用している OpenSSH の脆弱性対策
使用している OpenSSH について、既知の脆弱性への対策が施さ
れていることが確認できない場合は、OpenSSH を速やかに更新す
るよう、強くお勧めします。
既知の脆弱性に関して既に対策が施されている場合には、最新版
への更新は必須ではありません。2005 年 3 月 14 日現在、
OpenSSH の最新バージョンは 2005 年 3 月9 日リリースの 4.0
(オリジナル版) および 4.0p1 (ポータブル版) となりますが、
オリジナル版 3.7.1 およびそれ以降、また、ポータブル版
3.7.1p2 およびそれ以降の OpenSSH には、公知の脆弱性はあり
ません。
各 OS のパッケージとして提供されている OpenSSH については、
以前のバージョン番号を保ったまま、既知の脆弱性への対策が施
されているものがあります。パッケージ個別のバージョンに関し
ての詳細は各 OS のベンダや配布元が提供する情報を確認してく
ださい。
(2) 現在のアクセス制限の状況
OpenSSH サーバプログラムの設定ファイルなどを参照し、現在の
アクセス制限の状況を確認してください。確認した結果、IP ア
ドレスベースまたはホスト名ベースでのアクセス制限が行われて
おらず、どのホストからでもアクセスが許可されている場合は、
IP アドレスまたはホスト名によるアクセス制限の導入を検討す
るよう強くお勧めします。
OpenSSH は、IP アドレスまたはホスト名によるアクセス制限が
可能です。
(3) 現時点で有効となっている認証方法
OpenSSH サーバプログラムの設定ファイルを参照し、現時点で有
効となっている認証方法を確認してください。確認した結果、
UNIX パスワード認証が有効となっている場合は、UNIX パスワー
ド認証を無効にするよう強くお勧めします。
OpenSSH は、認証方法として、UNIX パスワード認証の他に、公
開鍵認証、S/Key 認証などのより安全な認証方法を利用できます。
また、同時に root によるログインを無効にしておくなど、ログ
イン可能なユーザを制限することも併せて強くお勧めします。
(4) パスワード総当たり攻撃に関する追加情報 (2005-03-14 追記)
既知の脆弱性に関して既に対策が施されている OpenSSH を使用
している場合でも、既知のアカウントに対して総当たり攻撃を行
うことによってパスワードを取得し、第三者が侵入するケースが
報告されています。
このようなケースでの侵入を防ぐために、不要になったユーザア
カウントを無効にする、各ユーザならびに管理者のパスワードを
総当たり攻撃に対して強いものにする、(3) で紹介したように、
UNIX パスワード認証を無効にする、などの対策が推奨されます。
なお、OpenSSH サーバプログラムが動作しているホストに対して
総当たり攻撃を行うツールが存在していることも確認されていま
す。
(1) に関しては、以下の URL で公開されている文書も併せて参照してください。
OpenSSH Security
http://www.openssh.com/security.html
(日本語訳)
OpenSSH セキュリティ
http://www.openssh.com/ja/security.html
(2) および (3) に関しては、以下の URL で公開されている文書も併せて参照してください。
IPA/ISEC セキュアなWebサーバーの構築と運用
4.2.1 OpenSSHのインストールと設定
http://www.ipa.go.jp/security/awareness/administrator/secure-web/chap4/4_openssh.html
(4) に関しては、以下の URL で公開されている文書も併せて参照してください。
JPCERT/CC REPORT 2004-11-04号 [今週の一口メモ]
パスワードの決定
http://www.jpcert.or.jp/wr/2004/wr044301.txt
JPCERT/CC REPORT 2004-04-21号 [今週の一口メモ]
ユーザアカウントとパスワードの整理
http://www.jpcert.or.jp/wr/2004/wr041601.txt
なお、速やかに対策を施すことが困難な場合は、そのホストをネットワークから切り離す、OpenSSH を使ったリモートアクセスの提供を中止する、などの回避策をご検討ください。
対策を検討する際には、以下の URL で公開されている文書も併せて参照してください。
IPA/ISEC
小規模サイト管理者向け セキュリティ対策マニュアル
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/
セキュリティ はじめの一歩
http://www.linux.or.jp/security/firststep.html
Linux Security HOWTO
http://www.linux.or.jp/JF/JFdocs/Security-HOWTO.html
III. 参考情報
OpenSSH サーバプログラムの脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2002/at020004.txt
IPA/ISEC
OpenSSH のチャレンジ・レスポンス処理における脆弱性
http://www.ipa.go.jp/security/ciadr/20020627openssh.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2005-03-09 初版
2005-03-10 OpenSSH 4.0 および 4.0p1 公開について追記
2005-03-11 phishing に関する報告件数の情報を追加
2005-03-14 既知の脆弱性を含まない OpenSSH のバージョンを明記して修正
パスワード総当たり攻撃に関する追加情報を追記
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
前
コメント
共 有
