「OpenSSH」に悪用可能性が高い脆弱性 - パッチ適用やPW強度の再チェックを

「OpenSSH」のパスワード認証において、試行回数の制限を回避できる脆弱性が7月に発見された。悪用される可能性が高いとして、セキュリティ専門家がパッチの適用や回避策の実施など対策を講じるよう呼びかけている。

問題が指摘されている「CVE-2015-5600」は、「同6.9」および以前のバージョンにおけるパスワード認証処理に存在する脆弱性。認証の試行回数に制限をかけている場合にも、制限時間内であれば制限なく試行できるという。

同脆弱性について、検証を行ったソフトバンク・テクノロジー（SBT）は、悪用が容易であると指摘。ネットワーク機器でデフォルトのパスワードをそのまま利用したり、脆弱なパスワードの利用することは、それだけでも危険だが、同脆弱性によって試行回数の制限を回避されると、辞書などを用いた攻撃がより成功しやすくなる可能性がある。システムが乗っ取られた場合のダメージも大きい。

今回の脆弱性は、パスワード認証において、文字や数字、記号などを不規則に組み合わせ、第三者が予想できない十分な長さを持つ強固なパスワードを用いていれば、影響は小さくなる。

さらに脆弱性そのものは、修正パッチが提供されており、適用することで脆弱性の悪用を防ぐことが可能。対策がすぐ講じることができない場合は、設定変更によって回避できるとし、SBTでは、具体的な設定方法について情報を公開している。

また同社は「OpenSSH」の利用にあたり、公開鍵認証を利用するなど、攻撃を受けにくい環境の整備や、ポート番号の変更など、セキュリティ対策などを呼びかけている。

（Security NEXT - 2015/08/07 ） ツイート

PR

関連記事

米セキュリティ機関、「ScadaBR」既知脆弱性の悪用に警告
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害
「Android Framework」のゼロデイ脆弱性に注意喚起 - 米当局
「Unbound」のDNSキャッシュ汚染脆弱性 - 追加対策版が公開
「Android」に月例パッチ、脆弱性107件に対応 - 2件ですでに悪用も
「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応
マルウェア対策製品「Avast Antivirus」に権限昇格の脆弱性
脅威情報共有基盤「MISP」がアップデート - 2件の脆弱性を修正
「Apache Struts」にDoS脆弱性 - ディスク領域枯渇のおそれ
組織向けコラボツール「Mattermost」に脆弱性 - 「クリティカル」も