OpenSSHに総当たり攻撃を引き起こす深刻な脆弱性が発覚

複数のメディアがOpenSSHに総当たり攻撃を引き起こす可能性がある脆弱性が存在すると伝えた。これらの報道はKingcopeという名で知られるセキュリティ研究者が自身のブログに掲載した「OpenSSH keyboard-interactive authentication brute force vulnerability (MaxAuthTries bypass)」の発表に基づいたもの。この脆弱性を悪用されると、総当たり攻撃を通じてシステムにログインされる危険性があり注意が必要。

OpenSSHはデフォルトでは認証に6回失敗するとコネクションを閉じる設定になっている。しかし今回、キーボード・インタラクティブ認証の設定が有効になっている場合、この規制が適用されないという実装上のバグがあることが判明した。このバグにより、ログイン猶予期間(デフォルトでは2分間)が過ぎるまでパスワードを入力できてしまうことになる。

同記事では、キーボード・インタラクティブ認証がデフォルトで有効になっているFreeBSDを引き合いに出し、最新リリース版となるFreeBSD 10.1およびかなり古いバージョンであるFreeBSD 6.2の双方でこの脆弱性を悪用した攻撃を確認できたと指摘している。

この脆弱性はFreeBSDのみならず、OpenSSHサーバを動作させている多くのLinuxサーバが影響を受ける可能性がある。システムやパッケージの提供しているデフォルト設定のままOpenSSHサーバを運用している場合は注意が必要。OpenSSHプロジェクトから公開されているパッチの適用や、設定の変更や総当たり攻撃を検知する機能の導入などを実施し対策を取ることが推奨される。