Bashの脆弱性「Shellshock」 FAQ

バージョン 1.5 - 10月13日 11:30 (太平洋夏時間)

文書は新たな情報が入り次第、更新を行っていきます。今後も最新情報に関しては本ページをご覧ください。

アップデート:この脆弱性に関する、2つのレポートが新たに報告されました(CVE-2014-6277、CVE-2014-6278)。FortiGuard Labsチームはこれについて現在調査を進めており、IPSとアンチウィルスの新たなシグネチャを今後提供する予定です。Product Security Advisoryでこの新たな脆弱性についてアップデートし、影響を受ける製品についてもこのAdvisoryで報告していきます。

Shellshockとは?

Shellshockは広く使用されているGNUシステムのBourne Again Shell(Bash)プログラムで見つかった脆弱性で、攻撃者によりリモートからターゲットシステム上に任意のコードを実行される可能性があります。BashはLinux、Unix、Mac OS X などで広く使用されており、Apple社のモバイル用OS 「iOS」やGoogle社のAndroid OSも影響を受ける恐れがあります。

誰が影響を受けるのか?

Bashはローカルのシェルプログラムであるものの、インターネット上の多くのプログラムで環境変数を設定するのにBashが使用されており、設定された環境変数は他のプログラムの実行に使われます。

Shellshockの仕組み

多くのプログラムが環境変数を使用して処理を行いますが、特別に作成されたコードが環境変数内に加えられた場合、OSはそのコードを実行します。以下の例をご覧ください。

心配するべきか?

もしあなたがサーバーやその他のインターネット・インフラストラクチャーの所有者、もしくは保守管理者である場合は、できるだけ早急にマシンにパッチを適用する必要があります。このエクスプロイトの性質は、攻撃者に簡単にマシンを感染させたり自己増殖ワームを作り出させたりするもので、2003年に発生したSQL Slammerワームに類似しており、DDoS(Distributed Denial of Service)攻撃につながる可能性があります。

どうするべきか? 危険にさらされているかを確認するには?

従業員、ユーザー、顧客に対し最高レベルのセキュリティを提供するための最善策として、サーバー側が対処すべきことがいくつかあります。

  • まず知っていただきたいのは、FortiOSはShellshockの影響を受けないということです。FortiOS はBashシェルを使用していません。
  • インフラへの潜在的な攻撃を監視、緩和するために適切なIPSシグネチャを設定しましょう。フォーティネットはShellshock攻撃を検出、回避するためにIPSシグネチャを持つお客様に対し、ホットアップデートを発行しています。このシグネチャは現在、FDNからダウンロード可能です。今回のような状況では、当社の脅威研究チームが緊急のセキュリティインシデントに直ちに対処し、当社の顧客の皆様(そして顧客の方々の顧客)を攻撃から保護します。
  • システムおよびエンドポイントに、最新のアンチウイルス データベースを適用しましょう。フォーティネットはShellshock攻撃を検出、回避するためお客様に対しホットアップデートを発行しました。
  • 影響を受けているシステムすべてに、できるだけ早急にパッチを適用しましょう。

フォーティネットの場合は? フォーティネットの対応は?

  • フォーティネットは9月25日午後にIPSホットアップデート 5.552Bash.Function.Definitions.Remote.Code.Execution を発表しました。
  • FortiGuardの PSIRT (Product Security and Incident Response Team)はバグが公表された9月24日水曜日にこの問題を知りました。当社のチームはバグの検証を行うためにただちに社内POCを作成し、当社製品に対する影響の度合いを調査し始めました。
  • PSIRTは木曜日に初期情報を含む セキュリティアドバイザリ - FG-IR-14-030 を発行しました。また同時に、Shellshockの悪用を試みる攻撃者が顧客のシステムを標的としていたかどうか確認できるよう、業界トップの当社のセキュリティリサーチチームが当面のIPSシグネチャを作成しました。
  • 9月25日木曜日午前中にはパッチの作成が始まり、当社の QAチームがアップデートの検証を開始しました。
    FortiOSを始めとする当社製品の多くはShellshockの影響を受けておらず、パッチは必要ありません。影響を受けた当社製品の一覧は、製品セキュリティアドバイザリに掲載しています。

この記事を書いている時点で、FortiGuard Labsではこのエクスプロイトによるアクティブな違反は検出されていませんが、当社の脅威研究者のグローバルチームは引き続き脅威動向を監視し、不審なアクティビティが見られないか確認していきます。今後の情報については発見次第、随時本ページで発表していきます。

Update: FortiAnalyzer 5.0 と FortiManager 5.0 のパッチが現在リリースされております。FortiAnalyzer 5.2 と FortiManager 5.2 のパッチは今後リリース予定です。また、FortiAuthenticator と FortiDB のパッチも現在リリースされております。