セキュリティソリューションベンダのQualysは7月1日（米国時間⁠）⁠、OpenSSHサーバ（sshd）に認証されていないリモートコード実行（RCE）につながる重大な脆弱性「regreSSHion」（⁠CVE-2024-6387）を発見したことを明らかにした。

この脆弱性はOpenSSHサーバのシグナルハンドラ競合状態で、glibcベースのLinuxシステムでrootとして認証されていない任意のリモートコードが実行されるおそれがあり、悪用された場合、システムが完全に攻撃者に乗っ取られ、マルウェアのインストールやデータの操作、永続的なアクセスのためのバックドア作成などを実行される可能性がある。OpenSSHはすでに修正バージョン「OpenSSH 9.8」をリリースしており、各ディストリビューションも修正版を準備中で、サーバ管理者に向けて注意を喚起している。

• regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog

• release 9.8 -openssh.com
• NVD - CVE-2024-638 -nvd.nist.gov

Qualysによれば、この脆弱性は2006年に報告され、すでに修正された脆弱性「CVE-2006-5051」の回帰（regression）であり、いったん修正された欠陥が、その後のソフトウェアリリースによって問題が不用意に再導入され、ふたたび脆弱性として現れたという。したがってOpenSSHのバージョンごとに影響を受ける範囲が異なってくる。

• 4.4p1より前のバージョン
  • CVE-2006-5051およびCVE-2008-4109のパッチが適用されていなければ脆弱
• 4.4p1から8.5p1までのバージョン（8.5p1は含まない⁠）⁠
  • CVE-2006-5051の変換パッチにより安全になったため、脆弱性はない
• 8.5p1から9.8p1までのバージョン（9.8p1は含まない⁠）⁠
  • 回帰バグにより脆弱性が発生

このため、「⁠Red Hat Enterprise Linux」の場合、現時点で最新版である「Red Hat Enterprise Linux 9」シリーズのみが影響を受け、RHEL 6/7/8の場合は脆弱性の影響を受けない。なお、主要なディストリビューションの本脆弱性への対応状況は以下から確認することができる。

• Red Hat Enterprise Linux
• Ubuntu
• Debian
• SUSE
• Amazon Linux

なお、Qualysによれば、現時点でインターネットに公開されている潜在的に脆弱なOpenSSHサーバインスタンスの数は1400万件以上、また約70万の外部インターネット接続インスタンスが脆弱であり、これは世界中でOpenSSHを使用しているすべてのインターネット接続インスタンスの31%に相当するという。今回の脆弱性が2020年10月にOpenSSH 8.5p1の一部としてもたらされた“⁠回帰バグ⁠”だったことを受けてQualysは「既知の脆弱性が環境に再導入されることを防ぐための徹底した回帰テストが果たす役割を浮き彫りにしている」としている。なお、OpenBSDシステムにはこの欠陥をブロックするセキュリティメカニズムが含まれているため、本脆弱性の影響を受けない。

Qualysはすでに本脆弱性に対するエクスプロイトを開発し、OpenSSHチームに対してエクスプロイトを実証し、修復作業を支援したが、「⁠パッチの適用に時間をかける必要がある」（⁠Qualys）ため、エクスプロイトの公開は行っていない。OpenSSHユーザに対してはリスク軽減措置として、以下の手順を推奨している。

• バッチ管理 … OpenSSHの利用可能なパッチを迅速に適用し、進行中の更新プロセスの優先順位を付ける
• 強化されたアクセス制御 … ネットワークベースの制御を通じてSSHアクセスを制限し、攻撃のリスクを最小限に抑える
• ネットワークのセグメンテーションと侵入検知 …ネットワークを分割して、重要な環境内での不正アクセスと横方向の移動を制限し、悪用の試みを示す異常なアクティビティを監視/警告するシステムを導入する