全てのGNU/Linux システムへ影響を与える古い脆弱性が発見される
サイバーセキュリティ研究者でLinux開発者のシモーネ・マルガリテッリ氏は、攻撃者が脆弱なシステムを完全に制御できる可能性のある重大なLinuxの脆弱性を発見しました。
このLinuxの脆弱性は、特にLinuxのリモートコード実行において、GNU/Linuxシステムに影響を及ぼします。確認されれば、史上最悪の脆弱性の1つになる可能性があります。
2024年9月27日:本脆弱性は予想より影響が低いと発表されました。
目次
脆弱性の概要 具体的な詳細は機密段階
この脆弱性は、10年以上前から存在していると言われており、すべてのGNU/Linuxシステムに影響を与えます。
具体的な詳細は機密扱いですが、CanonicalやRed Hatなどの主要なLinuxディストリビューターによって確認された10点満点の深刻度スコア9.9は、悪用された場合の潜在的なダメージの大きさを示しています。
セキュリティリスクについてまだ議論中
問題の深刻さにもかかわらず、 CVEの識別子が未だに割り当てられておらず、開発者は脆弱性の特定の側面がセキュリティリスクをもたらすかどうかについてまだ議論を続けています。
この意見の不一致により、問題への対処が遅れ、セキュリティ研究者の間で不満が生じています。
マルガリテッリ氏は、この情報開示の取り扱いについて公に失望を表明しました。
研究者は脆弱性の開示を選択
マルガリテッリ氏は、概念実証の攻撃コードを提供したと主張していますが、開発者は脆弱性の影響について議論することに重点を置いており、解決策に向けて取り組んでいません。
そのため、彼は責任ある開示ではなく、セキュリティの欠陥を開示する事を選択しました。
彼の決定は修正競争を加速させる可能性がありますが、迅速な対策が講じられなければ、何百万もの Linux システムが悪意のある攻撃にさらされることになります。
どのサービスまで影響するかは不明
この脆弱性は、OpenSSH などの既知の公開サービスや、Net Filter などのフィルタリング サービスに影響を及ぼす可能性がありますが、どのサービスが影響を受けるかは示されておらず、これらは単なる仮説にすぎません。
最新のアップデートによると、この欠陥はまず 9 月 30 日に Openwall セキュリティ メーリング リストに公開され、その後 10 月 6 日に完全に公開される予定です。
Linux ユーザーは、パッチが利用可能になり次第、公式のアップデートとパッチ システムについて最新情報を入手することをお勧めします。
Log4j/Log4Shell の脆弱性 (CVE-2021-44228) と疑似性が指摘される
ソフトウェアセキュリティプラットフォームSonatypeのCTOであり、Open Source Security Foundationの理事会メンバーであるブライアン・フォックス氏は、今回指摘されている脆弱性とLog4j/Log4Shell脆弱性(CVE-2021-44228)との類似点を見つけました。
ブライアン氏は、Sonatypeの研究チームやOpen Source Security Foundationと協力して、問題の深刻さと可能な緩和方法を理解しています。
「技術的な詳細はまだわかりませんが、CVSS 9.9 の脆弱性は悪用がそれほど複雑ではないことを示し、システムの中核に欠陥があることを示す兆候があります。これは Linux であることを考えると、この脆弱性の範囲は広大で、悪用が成功すると壊滅的な被害を受ける可能性があります。Wi-Fi ルーターから電気を供給し続けるグリッドまで、すべてが Linux 上で動作しているのです」とブライアン氏は説明しました。
さらに彼は、「この低複雑性と高使用率の組み合わせは Log4Shell を彷彿とさせますが、ここでの使用規模ははるかに大きいです。この脆弱性の発見と修正には時間がかかるため、段階的に開示を廃止する論理は理解できますが、脅威アクターがコミット履歴を精査し、悪用する手がかりを探していることも予想する必要があります。」と付け加えました。
セキュリティチームは休暇をキャンセルしてください
ブライアン氏は「詳細が明らかになるのを待つ間、企業のセキュリティ チームは自社の環境と SBOM を徹底的に調査し、どこに脆弱性があるかを把握してパッチを当てる準備をする必要があります。休暇はキャンセルしてください。10 月 6 日は攻撃者との戦いになる可能性があるからです」と強調しました。
参照
Old Vulnerability Rated 9.9 Impacts All GNU/Linux Systems, Researcher Claims