bash脆弱性Shellshock、その悪用のシナリオ - トレンドマイクロ

Trend Microは9月29日(現地時間)、「「Shellshock」：どのように被害をもたらすか」において、先日発表されたbashのセキュリティ脆弱性(通称Shellshock)を使ってどのようなことが発生しうるか、特に代表的な例を紹介した。紹介された例は次のとおり。

WebサーバのCGIやsshによるログインなどにおいてShellshockを利用して任意のコマンドが実行される(Linuxサーバの多くはbashを初期設定で採用しているが、FreeBSDは初期設定でtcshを採用しておりこうしたシェルはこの脆弱性の影響を受けない。このようにUNIX系のオペレーティングシステムすべてが危険というわけではない)
公衆無線LANのDHCPなどでShellshockを利用した攻撃が実施される可能性がある。また、ジェイルブレイクしたiOSやモバイル端末もShellshockの影響を受ける可能性が高い
物のインターネット(IoT; Internet of Things)に関連した製品はLinuxを採用していることがあり、こうした製品がボットネットの一翼を担う可能性がある。IoTは修正プログラムの適用が困難であり、また問題があるかどうか判定をするのも難しいという側面を抱えている。この分野はShellshock対策において長期に渡って問題となる可能性がある

Shellshockはその影響範囲を正確に把握することが難しいという特徴を持っている。考えられる適用範囲が広く、シナリオ次第では考えもしなかったところでこのセキュリティ脆弱性が使われる可能性がある。管理しているサーバやマシンがある場合には、ベンダやプロジェクト、採用しているソフトウェアの最新の情報を入手し続けるとともに、アップデートが提供されている場合には迅速に適用することが推奨される。