2014年シェルショック脆弱性

2014年9月に公表されたBashについての一群の脆弱性（CVE-2014-6271 ^[1] 等）の発見は、俗にシェルショック（Shellshock）、バッシュドア(bashdoor)と呼ばれている。関連して6つの脆弱性が登録された。

これらの脆弱性のうち当初の主要なものは遠隔（リモート）からコマンドの実行を許してしまうものであり、直接的または間接的にBashスクリプトを実行しているサーバに対して巧妙に細工されたデータを注入することによって再現する。この脆弱性は、影響範囲が広いのみならず、悪用することが容易であり、また悪用された場合の被害も大きいため深刻である ^[2] ^[3]。

2014年9月12日、発見者のStéphane Chazelasは、Bashのメンテナー（保守者）であるシェト・ラメイに連絡し、セキュリティ専門家と共に修正プログラムも開発した ^[4]。

後日、関連する他の脆弱性（CVE-2014-7169 ^[5] 等）も発見された ^[2]。

背景

Bashは、様々なUnixベースのシステムにおいてコマンドラインやコマンドスクリプトを実行するプログラムとして使われている。典型的な用例として、Linuxで動作しているWebサーバのCGIスクリプトの処理をbashが担っているケース、OpenSSHサーバがもつForceCommand機能に処理させるケース等が挙げられる。

最初に登録された3つの脆弱性のうち、主要なもの（CVE-2014-6271^[1]）は、Bashシェルにある環境変数で関数を定義できる機能に起因して、悪意あるコマンドを注入できてしまうものであった。

2014年9月24日、当初の主要な脆弱性（CVE-2014-6271^[1]）を解消するために修正プログラムが用意されたが、これでは想定されるすべての脅威に対応できていないことが判明して、同日に別の脆弱性（CVE-2014-7169^[5]）として登録された。

2014年9月25日、関連する脆弱性が2つ（CVE-2014-7186とCVE-2014-7187）追加登録され、翌2014年9月26日、これらがサービス不能に陥る脆弱性であることが公表された。

2014年9月27日、それまで内容が公表されていなかった当初からの2つの脆弱性（CVE-2014-6277とCVE-2014-6278）について、それぞれの概要が公表された。

攻撃の報告

2014年9月25日までに、この脆弱性を攻略したコンピュータから成るボットネットが攻撃者によって使われていた ^[6]。これは、いわゆるゼロデイ攻撃の状況になっていたことを意味する。

2014年9月26日、シェルショック関連のボットネット「wopbot」が報告された。これは、アカマイ・テクノロジーズに対してDDoS攻撃を放ち、アメリカ国防総省を探査（スキャン）するために使われていた ^[7]。

2014年11月4日、トレンドマイクロは、SMTP（メール）サーバ上のBashを攻略してIRCボットをロードする攻撃を確認したと報告した ^[8]。

2014年下半期には、IBMのTokyo SOCは、公開サーバに対する攻撃の動向として「当初は大量の調査行為が行われていたが、その後の攻撃動向の調査により、サーバに対してDDoSやスパムを行うボットプログラムを埋め込もうとする試みが確認された」 ^[9] という。

2015年2月25日、警察庁（@police）は、この脆弱性の有無を調査したり攻略しようとするアクセスの急増を観測し、注意を呼びかけた ^[10]。

脚注

^ ^a ^b ^c “CVE-2014-6271”. MITRE. 2015年6月22日閲覧。
^ ^a ^b “JVNVU#97219505 GNU Bash に OS コマンドインジェクションの脆弱性”. JVN (2014年9月26日). 2015年6月28日閲覧。
^ “危なすぎるBashの脆弱性「Shellshock」、深刻な事態になる前に対策を”. ITpro. (2014年9月29日) 2015年6月28日閲覧。
^ Nicole Perlroth (2014年9月25日). “Security Experts Expect `Shellshock' Software Bug in Bash to Be Significant”. New York Times 2014年6月28日閲覧。
^ ^a ^b “CVE-2014-7169”. MITRE. 2015年6月29日閲覧。
^ “Hackers Are Already Using the Shellshock Bug to Launch Botnet Attacks”. Wired (2014年9月25日). 2015年6月29日閲覧。
^ Saarinen, Juha (26 September 2014). “First Shellshock botnet attacks Akamai, US DoD networks”. iTnews 2015年6月29日閲覧。
^ “脆弱性「Shellshock」を利用した新たな攻撃を確認。SMTPサーバを狙う”. Trend Micro (2014年11月4日). 2015年8月12日閲覧。
^ “最新の脅威動向、「2014年下半期Tokyo SOC情報分析レポート」”. iTnews (2014年9月26日). 2015年7月6日閲覧。
^ “Bashの脆弱性を標的としたアクセスの観測について（第4報）” (PDF). 警察庁 (2015-). 2015年8月18日閲覧。

外部リンク

JPCERT/CC 「GNU bash の脆弱性に関する注意喚起」 (2014-09-25)
CVE（Common Vulnerabilities and Exposures）
- CVE-2014-6271 (2014-09-09）当初の主要な脆弱性（コマンド注入される脆弱性）
- CVE-2014-6277 (2014-09-09) （サービス不能に陥る脆弱性）
- CVE-2014-6278 (2014-09-09) （コマンド注入される脆弱性）
- CVE-2014-7169 (2014-09-24) 当初の脆弱性の修正プログラムが未対応の脆弱性（コマンド注入される脆弱性）
- CVE-2014-7186 (2014-09-25) （サービス不能に陥る脆弱性）
- CVE-2014-7187 (2014-09-25) （サービス不能に陥る脆弱性）
GNUプロジェクト Bashソースコード (2014-09-28) (includes patches for known vulnerabilities)
Collection of attacks seen in the wild at SANS Institute (2014-09-29)

[CVE-2014-6271-1] “CVE-2014-6271”. MITRE. 2015年6月22日閲覧。

[JVN-20140926-2] “JVNVU#97219505 GNU Bash に OS コマンドインジェクションの脆弱性”. JVN (2014年9月26日). 2015年6月28日閲覧。

[3] “危なすぎるBashの脆弱性「Shellshock」、深刻な事態になる前に対策を”. ITpro. (2014年9月29日) 2015年6月28日閲覧。

[NYT-20140925-NP-4] Nicole Perlroth (2014年9月25日). “Security Experts Expect `Shellshock' Software Bug in Bash to Be Significant”. New York Times 2014年6月28日閲覧。

[CVE-2014-7169-5] “CVE-2014-7169”. MITRE. 2015年6月29日閲覧。

[Wired-6] “Hackers Are Already Using the Shellshock Bug to Launch Botnet Attacks”. Wired (2014年9月25日). 2015年6月29日閲覧。

[IT-20140926-JS-7] Saarinen, Juha (26 September 2014). “First Shellshock botnet attacks Akamai, US DoD networks”. iTnews 2015年6月29日閲覧。

[8] “脆弱性「Shellshock」を利用した新たな攻撃を確認。SMTPサーバを狙う”. Trend Micro (2014年11月4日). 2015年8月12日閲覧。

[IBM-2015-9] “最新の脅威動向、「2014年下半期Tokyo SOC情報分析レポート」”. iTnews (2014年9月26日). 2015年7月6日閲覧。

[10] “Bashの脆弱性を標的としたアクセスの観測について（第4報）” (PDF). 警察庁 (2015-). 2015年8月18日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]