お名前.com「ネットde診断」E判定 | OpenSSHの脆弱性とサーバー問い合わせの経緯
公開:
今回の環境:
お名前.comでドメイン取得、さくらインターネットの共有サーバーでサイト運用
お名前.comのセキュリティ診断でE判定
お名前.comには、公開サイトのセキュリティ状態をチェックできる診断ツールがあります。この診断では、
- SSL設定
- サーバー設定
- 公開ポート
- 脆弱性の可能性
などをスキャンして評価が出るようです。
こちらの診断ツールの契約はしていなかったのですが、お名前.comから診断ツールの案内メールとして、診断結果が送られてきました。
そこには、緊急性と危険度の高いリスクが診断されたと書いてありました。
「診断結果E判定」
「 至急対策をしてください」
なかなか、不安をあおることが書いてあります。
原因の一つとして表示されたのがホストのOpenSSH。
既知の脆弱性が存在するソフトウェアの利用(openbsd openssh) PoC
脆弱性が報告されているバージョンのソフトウェア(SSH)を使用している、とのこと。
SSH接続してOpenSSHのバージョンを確認
バージョンの問題らしいので、サーバーのSSHのバージョンを調べてみることにしました。
SSHで該当サイトに接続すると、次の表示が確認できました。
Remote protocol version 2.0
remote software version OpenSSH_7.9 FreeBSD-20200214
ここから分かることは次の通りです。
SSHサーバー:OpenSSH 7.9
OS:FreeBSD
OpenSSH 7.9 は 2018 年のリリースなので、
一見すると かなり古いように見えます。
※OpenSSHのバージョン確認方法は、AIや検索で出てきますので割愛します
OpenSSH 7.9には、重大な脆弱性(CVE-2024-6387)が報告されている
OpenSSH 7.9は、2024年に報告されたOpenSSHの重大な脆弱性CVE-2024-6387(regreSSHion)の脅威があるバージョンです。
しかし、バージョンを上げようにも、さくらインターネットの共有サーバーのSSHは、さくらインターネットが管理しているため、こちら側ではできることはありません。
バージョンが低い=危険というわけではない
レンタルサーバーなどでは、安定運用のためOpenSSHのバージョンをあげず、セキュリティ修正だけ適用する(バックポート)運用している場合があります。
さくらインターネットのような大手が、危険度の高い脆弱性を放置しているとは考えにくいです。
公式アナウンス
上記の脆弱性については、公式アナウンスが出ています。
【重要】OpenSSHに含まれる脆弱性(CVE-2024-6387)について(2024年7月4日 17:30更新)
このページの真ん中あたりに、※で下記のように共有サーバーについての記述があります。
※「さくらのレンタルサーバ」など、弊社がサーバ管理を実施しているサービスについては、弊社にて対応いたします。
さくらインターネットのサポートに直接確認
上記のように、「対応する」というアナウンスは出ているのですが、「対応した」という旨のアナウンスは出ていません。
念のため、公式サポートに問い合わせを行いました。
回答は次の通りでした。
本脆弱性に対する対応は完了脆弱性が発見された場合は調査の上、必要なメンテナンスを実施している
CVE-2024-6387については対応済。
都度、メンテナンスは実行している模様。
セキュリティ上、具体的にいつ何をやったかは教えられないとのこと(それはそう)。
まとめ
なぜお名前.comの診断ではE判定が出たのか
外部ツールは、セキュリティパッチの適用状況まで見れません。
そのため、SSHのバージョンを見て「要対策」という判定を出したものと思われます。
そのため、SSHのバージョンを見て「要対策」という判定を出したものと思われます。
「SSHのバージョンが古い=即危険」ではない
SSHのバージョン、公式アナウンス、問い合わせを順に行って確認することが大事。
以上となります。