bash脆弱性(shellshock) でQNAPのNASと向き合ったひと幕のお話
2014/09/30
この週末は bashの脆弱性 問題、通称 「shellshock」 の話で持ちきりでした。
そのあまりの影響の大きさにFXで有り金全部溶かした人みたいな顔で
対応に追われた鯖屋の方々も大勢いらっしゃることでしょう。。。(汗
■bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20140925/1411612246
環境変数に仕込んだコードが実行されてしまう、だけならまだ良かったのですが、
それがREFERERやUSER-AGENT等に仕込まれることでHTTPアクセスを介して
突っ込まれてしまうというのは、bashとapacheの普及度合いから考えると
影響度は無限大 といえます。世界中のサーバ管理者が穴塞ぎに追われ、
乗っ取り等が行われていないかどうかピリピリした日々を送っているのではと思います。
私も同じようにピリピリしつつ対処と状況チェックを続けており、
ひととおりの暫定措置をした後も警戒を続けていました。
最初はちょっとお試し程度のpingを打つ攻撃などが見られたのですが、
今では普通に、
「何かをダウンロードさせてプログラムを常駐させて帰る」
みたいなエグい攻撃コードが日常の風景として飛んできます。
放っておいたサーバはまず間違いなく何者かに侵食されていることでしょう。
「自力で外向け鯖を立てたものの今回の件は難しくて分からないしまあいいか」
・・・と思った方も、悪いことは言いません。まずは怯えて、関心を持って、
向き合うことをお勧めします。ネットの世界はもう牧歌的な時代はとうに
終わっていて、ヒツジがいたら秒速で狩られる 世界になっています。
さて、サーバ管理のお話は特定の人だけのお話、、、と思うのが一般的だと
思いますが、ふと目を下ろしてみると、部屋に転がっている 既製品のNAS、
これも実はsshでログインして中をのぞけたりする普通のサーバだったりします。
QNAP TS-220 にsshログインして、検証コードを入れてみると、、
Oh....
ダメでした。QNAPのNAS も shellshock。みんなが shellshock。
昨今のデジモノはサーバ的機能を果たすものも数多くあり、
その中身はunixやlinuxの血が多く流れています。
幸いにして、私の場合はQNAPのNASにルータの外から通信が届くような構成を
していないため、すぐにでも被害があるという状況にはならないと思いますが、
一方で既製品はCGIのURL構成などが全て一緒になっているため、
狙いを定めた攻撃 を考えやすいという面もあり、油断はできません。
ファームウェアのアップデートを試みると、「これで最新だ」と
言われてしまいますが、直接QNAPのサイトに行ってみると、
■QNAP ダウンロードセンター
http://www.qnap.com/v3/jp/product_x_down/
なんと、さらに新しいファームウェアが公開されていました。
どうやらshellshock問題のために 緊急fix を出したようです。
9/25、9/27と立て続けに新ファームウェアが公開されています。
ここからファイルを直接ダウンロードしてきて、ファームウェアを
手動アップデートすることで最新版にすることができました。
以前のverだとNGが出ていた検証コードが、今回は通らなくなっています。
めでたしめでたし・・・と言いたかったところなのですが、
Oh.... (2回目)
別の検証コードではまたNGが出ています。どうも対処が不十分のようです。
このあとさらにファームウェアのverが上がることになるかもしれません。
繰り返しになりますが、昨今はNASを置けばそれはサーバですし、
HDDレコーダ を置けばそれもサーバですし、ゲーム機 を繋げればそれもサーバです。
もっといえば ブロードバンドルータ そのものもまた然りです。
外部との通信が可能なものは常に、何かしらの脆弱性が見つかったときに
喰いものにされる危険性と表裏一体となります。
私たち素人である消費者は、PCやスマホだけでなく、こうした通信機器に
囲まれた生活の中で、それらを安全に運用し続けていくことが果たして
可能でしょうか。普通のガジェットに「踏み台にされる危険が!」といった
警告情報が出たとき、みんながみんな 適切にパッチを 当てられるものでしょうか。
shellshock問題で慌てる中、なぜかNASと向き合って対処作業をしている自分を見て
何ともいえない光景だなぁと、あらためて溜め息交じりで感じたひと幕でした。
※追記 10/1のホットフィックスのお話を書きました。
■2014/10/04 [bash脆弱性(shellshock)でNASが狙われているというお話、QNAPの最新ホットフィックス適用
bash脆弱性(shellshock)でNASが狙われているというお話、QNAPの最新ホットフィックス適用]
2014/09/30 [updated : 2014/09/30 23:45]
ブログ「デジモノに埋もれる日々」「アニメレーダー」「コミックダッシュ!」管理人。デジモノ、アニメ、ゲーム等の雑多な情報をツイートします。
@ckom をフォローする
« ストライクウィッチーズ OVA Vol.1「サン・トロンの雷鳴」を観てきました。 | トップに戻る | bash脆弱性(shellshock)でNASが狙われているというお話、QNAPの最新ホットフィックス適用 » |
▼ はてなブックマークのコメント ▼
関連記事
ピックアップタグ
- アニメ(440)
- GSR(319)
- ライブ(79)
- イベント(207)
- コラボカフェ(35)
- VTuber(25)
- アニメ吐き出しメモ(10)
- ウマ娘(50)
- 舞台挨拶(45)
- 先行上映会(19)
- トークショー(20)
- バンドリ!(51)
- ガールズ&パンツァー(59)
- 少女☆歌劇レヴュースタァライト(60)
- ゾンビランドサガ(9)
- プリンセス・プリンシパル(19)
- スタリラ(31)
- コラム(171)
- ゲームプレイ日記(69)
- ワンフェス(13)
- コメンタリー上映(7)
- 岩浪美和(25)
- 大洗(9)
- 響け!ユーフォニアム(12)
- リズと青い鳥(9)
- RAISE A SUILEN(10)
- 艦これ(23)
- ストライクウィッチーズ(23)
- メイドインアビス(8)
- BLAME!(8)
- ヤマノススメ(7)
- ラブライブ!サンシャイン!!(11)
- HELLO WORLD(6)
- 宇宙よりも遠い場所(5)
- ヴァイオレット・エヴァーガーデン(8)
- 私に天使が舞い降りた!(9)
ブログ内検索
▼ コメント ▼
No.63563 投稿者 : 匿名 2014年10月 3日 23:08
いつも大変お世話になっております。
この記事のおかげで、bash脆弱性を知りました。
理解はできませんが、Firmwareの更新をしました。
10月1日付けで「Qfix for Bash security patch」が上がっておりました。
ありがとうございました。
わかってるところはわかってるよねぇ。だよねぇ。
http://cdn-ak.b.st-hatena.com/entryimage/229944781-1412151398_l.jpg
イントラでも中で踏めばそうなるよなぁ…
コメントしましょう