- 2018年8月22日
- セキュリティについて
Linux カーネルおよび FreeBSD にサービス運用妨害 (DoS) の脆弱性が存在することが明らかになりました。
Linux カーネルおよび FreeBSD にサービス運用妨害 (DoS) の脆弱性が存在することが明らかになりました。
■概要
・リソース枯渇の脆弱性 (CWE-400) – CVE-2018-5390
Linux カーネルに対し、tcp_collapse_ofo_queue() や tcp_prune_ofo_queue() 関数による処理がパケット毎に行われるよう細工したパケットを送りつけることで、サービス運用妨害 (DoS) 攻撃が可能であることが報告されています。
・リソース枯渇の脆弱性 (CWE-400) – CVE-2018-6922
FreeBSD の TCP 実装では、分割された状態で受信した TCP セグメントを再構築する際に非効率なアルゴリズムが使用されてます。
なお双方の脆弱性に対し、攻撃者は TCP セッション中に細工したパケットを送ることで攻撃を行います。DoS 状態を維持するためには細工したパケットを処理させ続ける必要があるため、送信元 IP アドレスを偽装した攻撃を行うことはできません。
■影響を受けるシステム
FreeBSD
・FreeBSD 11
・FreeBSD 11.1
・FreeBSD 11.2
・FreeBSD 10
・FreeBSD 10.4
Linux
・Linux Kernel
■CVSSによる深刻度
CVSS v3 基本値 6.3
CVSS v2 基本値 5.8
■想定される影響
遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃が行われる可能性があります。
(複数の TCP 実装にサービス運用妨害 (DoS) の脆弱性, JVN, 2018/08/20より)
■サービス運営妨害(DoS)攻撃とは
今回明らかになった脆弱性は、LinuxカーネルやFreeBSDの脆弱性を利用し、リソースを枯渇させることでDoS攻撃が可能になるというものでした。サーバーやソフトウェアなどの脆弱性を利用した攻撃はエクスプロイト(脆弱性攻撃)と呼ばれ、DoS攻撃はエクスプロイトの一つです。
今回の脆弱性で想定される影響として「サービス運用妨害(DoS)攻撃が行われる可能性があります」と記載されていました。ここでDoS攻撃について紹介します。
DoS攻撃とはDenial of Service Attackの略称でサイバー攻撃の一つです。DoS攻撃には大きく分けて2つの攻撃手法が存在します。
1つは「フラッディング攻撃」です。これはターゲットに対して次々と大量のデータを送信して、コンピュータに負荷を与え続ける攻撃です。昔流行った「F5連打」なんかも広い意味でフラッディング攻撃と言えます。他にもコンピュータに送信するデータの種類によって「SYNフラッド攻撃」や「UDPフラッド攻撃」と呼ばれるものもあります。
もう1つはネットワークのプロトコルの仕様を悪用したものや、ソフトウェアの脆弱性を利用したものがあげられます。pingコマンド使われるパケットの送信元を偽装して標的に向けて大量のパケットを送信する「Smurf攻撃」や、送信元IPアドレスと送信元ポート番号を攻撃対象のIPアドレスやポート番号に偽装してターゲットに送信する「LAND攻撃」などがあります。
このような攻撃を受けることによって、コンピュータはCPUやメモリ、そしてネットワーク回線といったリソース(Resource)を使い果たしてしまいます。その結果、コンピュータは正常に動作しなくなり、サービスが停止した状態となってしまいます。これがDoS攻撃の特徴です。
このようにDoS攻撃はターゲットのコンピュータをサービス停止状態にさせるだけなので、一見シンプルに思えるのですが、攻撃者によってはDoS攻撃を仕掛けると脅迫した上で金銭を巻き上げるといった悪質なものもあります。このような事態にならないためにもDoS攻撃の対策を取る必要があります。
■DoS攻撃の対策方法
今回発覚した脆弱性はLinuxやカーネルの中にDoS攻撃が行われる可能性があるというものでした。当然ですが脆弱性が発見されたならパッチを適用させたり、ソフトウェアをバージョンアップさせたりして対策を取る必要があります。
DoS攻撃の場合、攻撃元は同一のIPアドレスなので、特定のIPアドレスに対するアクセスを制限したり、リクエスト数を制限したりすることが有効です。また普段からネットワークのリソースを監視する体制を整えたり、不審なアクセスがあった時に検知できたりする仕組みを作っておくことも重要です。
それでも、もしDoS攻撃の被害に遭ってしまったら、コンピュータのアクセスログを記録して警察に通報しましょう。自社サイトのサービス停止は想定以上の影響が発生することもあります。「自分の会社やサイトは関係ない」などと思わず、日ごろから脆弱性情報やセキュリティパッチの情報をチェックして、注意を怠らないことが重要です。
(Photo by Sai Kiran Anagani on Unsplash)