「OpenSSH」に悪用可能性が高い脆弱性 - パッチ適用やPW強度の再チェックを

「OpenSSH」のパスワード認証において、試行回数の制限を回避できる脆弱性が7月に発見された。悪用される可能性が高いとして、セキュリティ専門家がパッチの適用や回避策の実施など対策を講じるよう呼びかけている。

問題が指摘されている「CVE-2015-5600」は、「同6.9」および以前のバージョンにおけるパスワード認証処理に存在する脆弱性。認証の試行回数に制限をかけている場合にも、制限時間内であれば制限なく試行できるという。

同脆弱性について、検証を行ったソフトバンク・テクノロジー（SBT）は、悪用が容易であると指摘。ネットワーク機器でデフォルトのパスワードをそのまま利用したり、脆弱なパスワードの利用することは、それだけでも危険だが、同脆弱性によって試行回数の制限を回避されると、辞書などを用いた攻撃がより成功しやすくなる可能性がある。システムが乗っ取られた場合のダメージも大きい。

今回の脆弱性は、パスワード認証において、文字や数字、記号などを不規則に組み合わせ、第三者が予想できない十分な長さを持つ強固なパスワードを用いていれば、影響は小さくなる。

さらに脆弱性そのものは、修正パッチが提供されており、適用することで脆弱性の悪用を防ぐことが可能。対策がすぐ講じることができない場合は、設定変更によって回避できるとし、SBTでは、具体的な設定方法について情報を公開している。

また同社は「OpenSSH」の利用にあたり、公開鍵認証を利用するなど、攻撃を受けにくい環境の整備や、ポート番号の変更など、セキュリティ対策などを呼びかけている。

（Security NEXT - 2015/08/07 ） ツイート

PR

関連記事

直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性
NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開
米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正