新しい活用を求めてセキュアシェル(SSH)のスキャン増加中

概要：
　セキュアシェルの中で新たに発見されたバグ（SSH CRC-32）を利用した攻撃の為、SSHに対するスキャンが増加している事が確認されている。2001年2月に、いくつかのSSHのバージョンにバッファー・オーバフローの問題が存在する事は知られているが、これは整数計算が正しく行われない事が原因であった。(2001年2月9日付けID#102381)　このバグが見つかって以降、これを利用した攻撃がいくつも発生した。これらの攻撃の多くは不成功に終っているものの、この数ヶ月、脆弱なSSHサーバを走査する活動は活発になっている。走査は急激に増え始めているのは攻撃が成功する確度の高いと思われるバグが新に見つかった事と関係していると思われる。更に脆弱なSSHサーバを探すのにポート22(sshd)に接続すればSSHのバージョン情報が簡単に入手できるという攻撃を受け易い体質がある事に加えて、パッチが充てられ過去の脆弱な部分を克服しているSSHサーバがレガシーを扱う旧タイプのSSHと接続されている事が多く、新しいSSH バージョン2デーモンにCRC-32のパッチを充てていない可能性が高い事も一因と考えられる。

情報ソース:
Internet Security Systems Inc. Oct. 30, 2001
http://xforce.iss.net/alerts/advise100.php

分析:
　SSH CRC-32のバグを利用した攻撃はスタック変数、malloc構造などの変更が可能になる。この攻撃を遠隔から行う為には、攻撃者はIPアドレスからTCPによる接続が必要になり、SSHデーモンがキー交換シナリオを実行する。

検知方法：
以下の製品が影響を受けている。

Cisco Systems Inc.
Catalyst 6000 6.2(0.110)
IOS 12.0S and 12.1xx-12.2xx
PIX Firewall 5.2(5) and 5.3(1)

SSH Communications Security Ltd.
SSH 1.2.24-1.2.31, and 2.x and 3.x
(if SSH Version 1 fallback is enabled)

F-Secure Corp.
SSH versions before 1.3.11-2

OpenSSH
OpenSSH versions before 2.3.0
(if SSH Version 1 fallback is enabled)

OSSH (by Bjoern Groenvall)
OSSH 1.5.7

ベンダー情報:

　SSHの構成を調査しパッチの必要性とSSHバージョン1による代替接続の有無を確認する。SSHバージョン1が使用されていなければ、代替接続を無効にして古いsshd バージョン１のバイナリーを取り外す。SSHバージョン２へのアップグレードを推奨する。詳細は以下の通り；

Cisco：
http://www.cisco.com/warp/public/707/SSH-multiple-pub.html
SSH Communications Security：
http://www.ssh.com/products/ssh/advisories/ssh1_crc-32.cfm
F-Secure：
http://www.f-secure.com/support/ssh/
OpenSSH：
OpenSSH 2.9.9,（影響無いと言われているが）
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/openssh-2.9.9.tgz
OSSH: Version 1.5.12,（影響無いと言われているが）
ftp://ftp.pdc.kth.se/pub/krypto/ossh/ossh-1.5.12.tar.gz .

（詳しくはScan本誌をご覧下さい）
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【15:50 GMT、10、31、2001】