Amazon商品の価格変動チェック「あまとも」
コミックダッシュ!は初音ミクGTプロジェクトを応援しています
個人ニュースサイトを巡回する「メガとんトラック」
全ての記事 携プレMP3 デジカメ レコーダ ゲーム メモリ デジモノ コラム 雑談 ブログ あまとも コミックダッシュ!
前の記事次の記事
2014/09/30 23:45 - 2014/09/30

bash脆弱性(shellshock) でQNAPのNASと向き合ったひと幕のお話



 
この週末は bashの脆弱性 問題、通称 「shellshock」 の話で持ちきりでした。
そのあまりの影響の大きさにFXで有り金全部溶かした人みたいな顔で
対応に追われた鯖屋の方々も大勢いらっしゃることでしょう。。。(汗

 
■bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20140925/1411612246
 
環境変数に仕込んだコードが実行されてしまう、だけならまだ良かったのですが、
それがREFERERやUSER-AGENT等に仕込まれることでHTTPアクセスを介して
突っ込まれてしまうというのは、bashとapacheの普及度合いから考えると
影響度は無限大 といえます。世界中のサーバ管理者が穴塞ぎに追われ、
乗っ取り等が行われていないかどうかピリピリした日々を送っているのではと思います。
 

 
私も同じようにピリピリしつつ対処と状況チェックを続けており、
ひととおりの暫定措置をした後も警戒を続けていました。
最初はちょっとお試し程度のpingを打つ攻撃などが見られたのですが、
今では普通に、
 
 「何かをダウンロードさせてプログラムを常駐させて帰る」
 
みたいなエグい攻撃コードが日常の風景として飛んできます。
放っておいたサーバはまず間違いなく何者かに侵食されていることでしょう。
 
「自力で外向け鯖を立てたものの今回の件は難しくて分からないしまあいいか」
・・・と思った方も、悪いことは言いません。まずは怯えて、関心を持って、
向き合うことをお勧めします。ネットの世界はもう牧歌的な時代はとうに
終わっていて、ヒツジがいたら秒速で狩られる 世界になっています。
 
 
さて、サーバ管理のお話は特定の人だけのお話、、、と思うのが一般的だと
思いますが、ふと目を下ろしてみると、部屋に転がっている 既製品のNAS
これも実はsshでログインして中をのぞけたりする普通のサーバだったりします。
 

 
QNAP TS-220 にsshログインして、検証コードを入れてみると、、
 

 
 
 Oh....
 
 
ダメでした。QNAPのNAS も shellshock。みんなが shellshock。
昨今のデジモノはサーバ的機能を果たすものも数多くあり、
その中身はunixやlinuxの血が多く流れています。
 
幸いにして、私の場合はQNAPのNASにルータの外から通信が届くような構成を
していないため、すぐにでも被害があるという状況にはならないと思いますが、
一方で既製品はCGIのURL構成などが全て一緒になっているため、
狙いを定めた攻撃 を考えやすいという面もあり、油断はできません。
 

 
ファームウェアのアップデートを試みると、「これで最新だ」と
言われてしまいますが、直接QNAPのサイトに行ってみると、
 
■QNAP ダウンロードセンター
http://www.qnap.com/v3/jp/product_x_down/
 

 
なんと、さらに新しいファームウェアが公開されていました。
どうやらshellshock問題のために 緊急fix を出したようです。
9/25、9/27と立て続けに新ファームウェアが公開されています。
 

 
ここからファイルを直接ダウンロードしてきて、ファームウェアを
手動アップデートすることで最新版にすることができました。
 

 
以前のverだとNGが出ていた検証コードが、今回は通らなくなっています。
めでたしめでたし・・・と言いたかったところなのですが、
 

 
 
 Oh.... (2回目)
 
 
別の検証コードではまたNGが出ています。どうも対処が不十分のようです。
このあとさらにファームウェアのverが上がることになるかもしれません。
 
繰り返しになりますが、昨今はNASを置けばそれはサーバですし、
HDDレコーダ を置けばそれもサーバですし、ゲーム機 を繋げればそれもサーバです。
もっといえば ブロードバンドルータ そのものもまた然りです。
外部との通信が可能なものは常に、何かしらの脆弱性が見つかったときに
喰いものにされる危険性と表裏一体となります。
 
私たち素人である消費者は、PCやスマホだけでなく、こうした通信機器に
囲まれた生活の中で、それらを安全に運用し続けていくことが果たして
可能でしょうか。普通のガジェットに「踏み台にされる危険が!」といった
警告情報が出たとき、みんながみんな 適切にパッチを 当てられるものでしょうか。
 
shellshock問題で慌てる中、なぜかNASと向き合って対処作業をしている自分を見て
何ともいえない光景だなぁと、あらためて溜め息交じりで感じたひと幕でした。
 
※追記 10/1のホットフィックスのお話を書きました。
■2014/10/04 [bash脆弱性(shellshock)でNASが狙われているというお話、QNAPの最新ホットフィックス適用]

CK@デジモノに埋もれる日々 @ckom
ブログ「デジモノに埋もれる日々」「アニメレーダー」「コミックダッシュ!」管理人。デジモノ、アニメ、ゲーム等の雑多な情報をツイートします。



投稿者 CK : 記事URL | デジモノ | | 2014/09/30 23:45


« ストライクウィッチーズ OVA Vol.1「サン・トロンの雷鳴」を観てきました。

トップに戻る

bash脆弱性(shellshock)でNASが狙われているというお話、QNAPの最新ホットフィックス適用 »


▼ 関連記事 ▼



▼ コメント ▼

No.63563   投稿者 : 匿名   2014年10月 3日 23:08

いつも大変お世話になっております。
この記事のおかげで、bash脆弱性を知りました。
理解はできませんが、Firmwareの更新をしました。
10月1日付けで「Qfix for Bash security patch」が上がっておりました。
ありがとうございました。


ご自由にコメントください(=゜ω゜)ノ  ▼ コメント入力欄を開く ▼
※管理人は多忙のためお返事はほとんどできません(スミマセン)。
スパムおよび本文と無関係なコメントは削除対象になる可能性があります。


▼ はてなブックマークのコメント ▼


▼ トラックバック ▼

このエントリーのトラックバックURL:

★コミックダッシュ! 10,000人突破ありがとうキャンペーン!(9/18~10/23)
 
デジモノに埋もれる日々 : (C) CKWorks