ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

【The regreSSHion Bug】2024/07/01 に公開された OpenSSH 脆弱性の内容を Orca Security を使って対処しました 【CVE-2024-6387】

こんにちは、Orca Security チームの尾谷です。

2024/07/01 に OpenSSH の脆弱性が公開されました。
Qualys のサイトでは、The regreSSHion Bug という名称が付けられて公開されています。

www.qualys.com

以下、NVD のサイトには、Qualys が発見した脆弱性であること、2006 年に公開された CVE-2006-5051 の回帰であることなどが記載されています。

要は、2006 年に修正されたリスクがパッケージのバージョンアップで再発してしまったようで、CVSS 3 のスコアは 8.1 と高く、リモートで roor 権限のコマンドを実行される可能性があるとのことです。

nvd.nist.gov

対象の脆弱性を、Orca Security で確認

Orca Security を用いて弊社の環境を検索したところ、検証用に作成した、普段は停止している Red Hat Enterprise Linux のインスタンス 3 件がヒットしました。

これを fix していきたいと思います。

Discovery から検索する方法

Discovery から、Alerts を全て選択し、CVE IDs is CVE-2024-6387 という形で、[Apply Filters] ボタンをクリックしました。

すると、3 件がヒットしました。どのインスタンスも停止しているのでアラートリスクスコアは低い状況です。

推奨修復方法を確認したところ「リストされたパッケージにパッチを当ててください。」とだけ記載されていました。
もう少し詳しく知りたいので [CLI] ボタンをクリックしてみます。

すると、修復コマンドが提案されました。

修復作業

推奨コマンドは参考程度に確認をしつつ、dnf コマンドでアップデートリストを更新しました。
すると、openssh 関連で 3 つアップデートプログラムが見つかりました。

$ sudo dnf list update
$ sudo dnf check-update | grep -i openssh
openssh.x86_64                            8.7p1-38.el9_4.1                         rhel-9-baseos-rhui-rpms
openssh-clients.x86_64                    8.7p1-38.el9_4.1                         rhel-9-baseos-rhui-rpms
openssh-server.x86_64                     8.7p1-38.el9_4.1                         rhel-9-baseos-rhui-rpms

openssh.x86_64 のアップデートを実行すると、上記 3 つのプログラムが同時に更新されました。

$ sudo dnf update openssh.x86_64
Last metadata expiration check: 0:01:30 ago on Mon 08 Jul 2024 11:32:14 AM JST.
Dependencies resolved.
==============================================================================
 Package          Arch    Version              Repository                Size
==============================================================================
Upgrading:
 openssh          x86_64  8.7p1-38.el9_4.1     rhel-9-baseos-rhui-rpms  466 k
 openssh-clients  x86_64  8.7p1-38.el9_4.1     rhel-9-baseos-rhui-rpms  723 k
 openssh-server   x86_64  8.7p1-38.el9_4.1     rhel-9-baseos-rhui-rpms  465 k
Transaction Summary
==============================================================================
Upgrade  3 Packages
Total download size: 1.6 M
Is this ok [y/N]: y
Downloading Packages:
(1/3): openssh-8.7p1-38.el9_4.1.x86_64.rpm    6.9 MB/s | 466 kB     00:00
(2/3): openssh-server-8.7p1-38.el9_4.1.x86_64 6.3 MB/s | 465 kB     00:00
(3/3): openssh-clients-8.7p1-38.el9_4.1.x86_6 8.7 MB/s | 723 kB     00:00
------------------------------------------------------------------------------
Total                                          15 MB/s | 1.6 MB     00:00

(中略)

Upgraded:
  openssh-8.7p1-38.el9_4.1.x86_64
  openssh-clients-8.7p1-38.el9_4.1.x86_64
  openssh-server-8.7p1-38.el9_4.1.x86_64
Complete!

Orca Security にて、再スキャンしたところ、アラートがクローズされました。

まとめ

Orca Security での脆弱性対策方法をご紹介しました。

Orca Security を導入することで、今回のような CVE スコアの高いリスクを検知していたとしても、インスタンスが停止していた場合はスコアを下げる、といった調整を Orca がやってくれるので、本当に直近で対応しないといけない対応を優先することができます。

また、しばらく起動していないインスタンスは、今回のようにセキュリティアップデートが含まれる可能性が非常に高いため、起動前に Orca で安全性を確認していただくのがよろしいと感じました。