bash に存在する Shellshock 脆弱性 今すぐできる対策のご提案 Rev1.0 トレンドマイクロ株式会社ソリューションマーケティング部 2014 年 9 月 26 日 9/26/2014 Copyright 2013 Trend Micro Incorporated. All rights reserved. 1
Shellshock 脆弱性 (CVE-2014-6271) とは? Linux などで使用されるオープンソースプログラム bash に存在する脆弱性 bash は Linux BSD Mac OS X などの OS で使われる シェル と呼ばれるコマンドシェルの 1 つ 脆弱性が悪用されると bash を使用している Web サーバが改ざんされたり 遠隔操作されたり 不正プログラムに感染してしまう危険性がある 攻撃者 改ざん 遠隔操作 不正プログラムに感染 Linux サーバ bash 9/26/2014 Copyright 2013 Trend Micro Incorporated. All rights reserved. 2
影響のある環境は? bash が実装されている OS 環境に影響 各種 Linux ディストリビューションや Mac OS X では bash が標準搭載され デフォルトシェルとして設定されています ( 影響範囲大 ) CGI ssh rsh rlogin などで bash が使われている場合 システムなどの関数によって呼びこまれている場合には特に注意が必要です また サーバや PC だけではなく Linux ベースのアプライアンスや組み込み機器 Internet of Everything(IoE) 関連デバイスなどでも影響を受ける可能性があります 9/26/2014 Copyright 2013 Trend Micro Incorporated. All rights reserved. 3
どのような攻撃の可能性があるのか? 攻撃者は この脆弱性をもつサーバや PC に対し脆弱性を悪用する通信を行うことにより コマンドを実行することができます 一般的な攻撃シナリオとしては Web サーバなど インターネットから直接アクセスできる公開サーバに対する遠隔攻撃の可能性が高い 脆弱性を悪用し OS コマンドを実行 Web 改ざん 遠隔操作 不正プログラムの感染などの被害 9/26/2014 Copyright 2013 Trend Micro Incorporated. All rights reserved. 4
悪用するウイルスも出現 既にこの脆弱性を悪用する ウイルスが出てきています トレンドマイクロのウイルス対策製品は既に対応済みです 最新パターンファイルを適用してください 不正プログラムパターンファイルパターンバージョン :11.171.xx 以降検出名 :ELF_BASHLITE.A 9/26/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 5
Web サーバへのサイバー攻撃と被害事例 (2013 年 ) 攻撃者 被害者 1 公開 Web サーバ (Apache) 1 1 標的となるWebサーバの脆弱性を突いて不正プログラム / 不正モジュールを設置するまたはプログラムを改ざんする 攻撃内容 脆弱性を突く攻撃 設定ファイルの改ざん 不正プログラム / 不正モジュールの設置 Web コンテンツプログラムの改ざん 公開 Web サーバ (Apache) EC サイト クレジットカード情報非保持 クレジットカード情報 ( 漏洩 ) クレジットカード情報 ( 正規処理 ) 攻撃用のサーバ 2 被害者 2 2サイトの閲覧者のPC 側の脆弱性を突く不正なHTTPレスポンスを発行し別の不正プログラムに感染させる 2 2ECサイトの利用者が決済時に入力するクレジットカード情報を転送し奪取 一般のサイト閲覧者 /EC サイト利用者 クレジットカード決済業者 攻撃を受けた公開 Web サーバにアクセスしたことにより サイト利用者のクレジットカード情報が漏洩し不正使用の被害が発生したり サイト閲覧者が不正プログラムに感染し PC 内情報が漏洩する被害が発生する事態に Copyright 2013 Trend Micro Inc. 6
対策フローは? 1 状況の確認 お使いの環境で bash を有効にしているか確認する 2 リスクの確認 外部のネットワークから攻撃が行われる可能性があるか / 無いかを確認する セキュリティパッチ適用またはバージョンアップを行う 3 対応方法の検 討 セキュリティソリューションの導入検討を行う 9/26/2014 Copyright 2013 Trend Micro Incorporated. All rights reserved. 7
bash の脆弱性有無の確認方法 Shellshock 脆弱性の仕組み : bash の関数機能は環境変数内でも使用可能だが 関数に任意のコマンドを続けて環境変数に入力すると 指定したコマンドが勝手に実行されてしまう 例 : 脆弱性を影響を確認できるサンプルコード : env x='() { :;}; echo vulnerable' bash -c "echo this is a test" echo vulnerable の部分が勝手に実行されてしまうコマンド部分 脆弱性がある場合以下の表示 vulnerable this is a test 脆弱性がない場合以下の表示 bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test 9/26/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 8
サーバの脆弱性対策 Copyright 2014 Trend Micro Incorporated. All rights reserved. 9
対策方法 セキュリティパッチ適用またはバージョンアップ 既に GNU Project からは本脆弱性の一部を修正する以下のパッチが公開されています https://www.jpcert.or.jp/at/2014/at140037.html また 各種 Linux ディストリビューターからも修正パッチが公開されていますが これらのパッチではまだ完全な修正が行えていない可能性があることが確認されています セキュリティソリューションの導入検討 Trend Micro Deep Security の仮想パッチ ( 侵入防御機能 ) による脆弱性の保護 以下の侵入防御 (DPI) ルールにて対応済み ルールアップデート : DSRU14-028 ルール ID :1006256 ルール名 : GNU Bash Remote Code Execution Vulnerability リリース日 :2014 年 9 月 26 日 02 時 30 分頃 9/26/2014 Copyright 2013 Trend Micro Incorporated. All rights reserved. 10
Trend Micro Deep Security とは OS やアプリケーションの IPS/IDS Web アプリケーション保護 SQL インジェクション等の攻撃から DoS 攻撃など ファイアウォール ウイルス対策 リアルタイムに OS やミドルウェアのセキュリティイベントを セキュリティログ監視 変更監視 ファイルやレジストリ等の 物理サーバ仮想サーバクラウド上のサーバデスクトップの仮想化 9/26/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 11
Trend Micro Deep Security 仮想パッチ ( 侵入防御機能 ) による脆弱性の保護 仮想パッチ カーネルモードドライバ (Layer2/ データリンク層にバインドされる ) を利用してパケットの中身を確認し プロトコル違反 シグネチャベースによるマッチングを行います パターンにマッチングしたパケットを " 脆弱性を狙った攻撃パケット " と判断し 検知 ブロックします 結果 仮に脆弱性が存在しているシステムでも そこを狙った攻撃から保護がされます 攻撃ツール 9/26/2014 Copyright 2013 Trend Micro Incorporated. All rights reserved. 12
Deep Security だけができる 推奨設定 で bash の仮想パッチを自動適用 エージェントが自動で bash の脆弱性を見つけて 自動で保護 Deep Security マネージャ CVE-2014-6271 CVE-2014-7169 Linux Server 脆弱性を自動で検出 解決可能なペインポイント 仮想パッチ で自動で保護 サーバ管理者を脆弱性の管理から解放 仮想パッチで最小限の負荷で 最適保護 Deep Security の定期的なチューニング不要 自動で解除 Copyright 2014 Trend Micro Incorporated. All rights reserved. 13
ネットワーク監視で対策 Copyright 2014 Trend Micro Incorporated. All rights reserved. 14
Deep Discovery Inspector による対応 パケットに含まれる脆弱性攻撃コードと攻撃通信を検出するエンジンを搭載 公開サーバ群 コアスイッチを通過するパケット をコピーして分析 脆弱性 001100100110100 100001011001101 コアスイッチ Shellshock 脆弱性 攻撃パケット 脆弱性攻撃パケットの検出を行う ネットワークコンテンツ検査エンジン 攻撃通信を検出するネットワークコ ンテンツ相関分析エンジン 攻撃者 インターネット Shellshock 対応済み 001100100110100 100001011001101 パケット コピー 001100100110100 100001011001101 脆弱性攻撃コードおよび 攻撃通信の 有無を確認 15 ネットワークコンテンツ検査パターン ファイル : 1.12175.00 ネットワークコンテンツ相関パターン ファイル : 1.12147.00 ルールID 1618
Deep Discovery Inspector とは お客様環境における通信から脅威を広範囲に検知 可視化するためのネットワーク製品 設置特性 ミラーポート接続型ネットワークモニタリング アプライアンス ( センサー ) 設置目的 内部に潜在する脅威の不正通信の可視化 セキュリティ対策の指針づくり 標的型メール攻撃対策 内部攻撃 内部拡散対策 DD の特徴 1. 脅威検出 : 不審なファイルに対する効率的な多段解析 ( 静的解析 動的解析 ) 複数の検知技術を使って脅威をモニタリング Sandbox による不審なファイルの詳細分析 2. 脅威の可視化 : リアルタイムに管理コンソールから脅威を可視化 3. 脅威分析レポート : 感染 /Target PC の IP を Key に通信の相関分析可能 4. 運用サポート : 検体の捕獲からパターンファイルでの対応まで一気通貫での提供 9/26/2014 Copyright 2014 Trend Micro Incorporated. All rights reserved. 16
Deep Discovery Inspector パケットの入力 80を超える多様なプロトコルに対応 スイッチスニファポートから パケットをモニタリング Web, mail などに限定しない 多様な分析アプローチ 800を超える挙動分析ルール 静 的 解 析 Deep Discovery Inspector ファイル セッション情報 ファイルの構築 ヘッダ等の情報の取得 パケット内からファイル構造のみを取得 TCP/IPのプロトコル処理を行い パケット内から ヘッダ等の情報を取得 挙動分析 パターンマッチング 既知の不正ファイルを検出 脆弱性コードの確認 ファイル内に含まれる未知の脆弱性コードを検出 ③ドキュメントファイルの脆弱性 セッションデータ プロトコル ファイル 名 ファイルサイズ等の情報から不審通信 を検出 ①ネットワーク上の不審なふるまい ②要注意アプリケーション ネットワーク経由の脆弱性コード ネットワークレベルでOSの脆弱性を狙った攻撃 (ネットワークウイルス)を検出 動 的 解 析 9/26/2014 Sandboxを用いた動的解析 URL判定 Sandbox技術を用いた 仮想環境における動作 検証 ファイルを仮想環境上で実行し ファイ ルの挙動をもとに危険度を判断 ④動的解析の実施 Copyright 2014 Trend Micro Incorporated. All rights reserved. 17 Webレピュテーション DNSレコードの新しさや 悪用されていたドメインであるかなど 複数の基 準から判定されたURLごとの危険なURLかどうか を確認
トレンドマイクロソリューションの対応状況 Trend Micro Deep Security にて 侵入防御 (DPI) ルールについて以下のとおり公開 ルールアップデート : DSRU14-028 ルール ID :1006256 名前 : GNU Bash Remote Code Execution Vulnerability リリーススケジュール :2014 年 9 月 26 日 02 時 30 分頃 Deep Discovery Inspector 用ルールを緊急リリースについて以下のとおり公開しました ネットワークコンテンツ検査パターンファイル : 1.12175.00 ネットワークコンテンツ相関パターンファイル : 1.12147.00 ルール ID:1618 理由 : Shellshock HTTP REQUEST リリーススケジュール :2014 年 9 月 26 日 09 時 00 分頃 トレンドマイクロの各ウイルス対策製品 ウイルスパターンファイル 11.171.xx 以降にて ELF_BASHLITE.A として検出します 9/26/2014 Copyright 2013 Trend Micro Incorporated. All rights reserved. 18
まとめ 詳しくはこちら http://www.trendmicro.co.jp/jp/sp/shellshock/index.html?cm_re=mainbnr-_-threat-_-shellshock Copyright 2014 Trend Micro Incorporated. All rights reserved. 19
脆弱性対策は トレンドマイクロに ご相談ください 法人お問い合わせ窓口 03-5334-3601 TRENDMICRO TREND MICRO ウイルスバスター ウイルスバスター On Line Scan PC-cillin InterScan INTERSCAN VIRUSWALL ISVW InterScanWebManager ISWM InterScan Web Security Suite IWSS TRENDMICRO SERVERPROTECT PortalProtect Trend Micro Control Manager Trend Micro MobileSecurity VSAPI トレンドマイクロ プレミアム サポート プログラム License for Enterprise Information Security LEISec Trend Park Trend Labs InterScan Gateway Security Appliance Trend Micro Network VirusWall Network VirusWall Enforcer Trend Flex Security LEAKPROOF Trend プロテクト Expert on Guard InterScan Messaging Security Appliance InterScan Web Security Appliance InterScan Messaging Hosted Security DataDNA Trend Micro Threat Management Solution Trend Micro Threat Management Services Trend Micro Threat Management Agent Trend Micro Threat Mitigator Trend Micro Threat Discovery Appliance Trend Micro USB Security InterScan Web Security Virtual Appliance InterScan Messaging Security Virtual Appliance Trend Micro Reliable Security License TRSL Trend Micro Smart Protection Network Smart Protection Network SPN SMARTSCAN Trend Micro Kids Safety Trend Micro Web Security Trend Micro IM Security Trend Micro Email Encryption Trend Micro Email Encryption Client Trend Micro Email Encryption Gateway Trend Micro Collaboration Security Trend Micro Portable Security Portable Security Trend Micro Standard Web Security トレンドマイクロアグレッシブスキャナー Trend Micro Hosted Email Security Hosted Email Security Trend Micro Deep Security ウイルスバスタークラウド ウイルスバスター CLOUD Smart Surfing スマートスキャン Trend Micro Instant Security Trend Micro Enterprise Security for Gateways Enterprise Security for Gateways Trend Micro Email Security Platform Trend Smart Protection Vulnerability Management Services Trend Micro Vulnerability Management Services Trend Micro PCI Scanning Service Trend Micro Titanium Trend Micro Titanium AntiVirus Plus Smart Protection Server Deep Security Worry Free Remote Manager ウイルスバスタービジネスセキュリティサービス HOUSECALL SafeSync トレンドマイクロオンラインストレージ SafeSync Trend Micro InterScan WebManager SCC Trend Micro NAS Security Trend Micro Data Loss Prevention TREND MICRO ENDPOINT ENCRYPTION Securing Your Journey to the Cloud Trend Micro オンラインスキャン Trend Micro Deep Security Anti Virus for VDI Trend Micro Deep Security Virtual Patch Trend Micro Threat Discovery Software Appliance SECURE CLOUD Trend Micro VDI オプション おまかせ不正請求クリーンナップサービス Trend Micro Deep Security あんしんパック こどもーど Deep Discovery TCSE おまかせインストール バージョンアップ トレンドマイクロバッテリーエイド Trend Micro Safe Lock トレンドマイクロセーフバックアップ Deep Discovery Advisor Deep Discovery Inspector Trend Micro Mobile App Reputation あんしんブラウザ Jewelry Box カスタムディフェンス InterScan Messaging Security Suite Plus おもいでバックアップサービス おまかせ! スマホお探しサポート プライバシースキャナー 保険 & デジタルライフサポート および LiveWedding は トレンドマイクロ株式会社の登録商標です