bash脆弱性(shellshock) でQNAPのNASと向き合ったひと幕のお話

2014/09/30


 
この週末は bashの脆弱性 問題、通称 「shellshock」 の話で持ちきりでした。
そのあまりの影響の大きさにFXで有り金全部溶かした人みたいな顔で
対応に追われた鯖屋の方々も大勢いらっしゃることでしょう。。。(汗

 
■bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
http://d.hatena.ne.jp/Kango/20140925/1411612246
 
環境変数に仕込んだコードが実行されてしまう、だけならまだ良かったのですが、
それがREFERERやUSER-AGENT等に仕込まれることでHTTPアクセスを介して
突っ込まれてしまうというのは、bashとapacheの普及度合いから考えると
影響度は無限大 といえます。世界中のサーバ管理者が穴塞ぎに追われ、
乗っ取り等が行われていないかどうかピリピリした日々を送っているのではと思います。
 

 
私も同じようにピリピリしつつ対処と状況チェックを続けており、
ひととおりの暫定措置をした後も警戒を続けていました。
最初はちょっとお試し程度のpingを打つ攻撃などが見られたのですが、
今では普通に、
 
 「何かをダウンロードさせてプログラムを常駐させて帰る」
 
みたいなエグい攻撃コードが日常の風景として飛んできます。
放っておいたサーバはまず間違いなく何者かに侵食されていることでしょう。
 
「自力で外向け鯖を立てたものの今回の件は難しくて分からないしまあいいか」
・・・と思った方も、悪いことは言いません。まずは怯えて、関心を持って、
向き合うことをお勧めします。ネットの世界はもう牧歌的な時代はとうに
終わっていて、ヒツジがいたら秒速で狩られる 世界になっています。
 
 
さて、サーバ管理のお話は特定の人だけのお話、、、と思うのが一般的だと
思いますが、ふと目を下ろしてみると、部屋に転がっている 既製品のNAS
これも実はsshでログインして中をのぞけたりする普通のサーバだったりします。
 

 
QNAP TS-220 にsshログインして、検証コードを入れてみると、、
 

 
 
 Oh....
 
 
ダメでした。QNAPのNAS も shellshock。みんなが shellshock。
昨今のデジモノはサーバ的機能を果たすものも数多くあり、
その中身はunixやlinuxの血が多く流れています。
 
幸いにして、私の場合はQNAPのNASにルータの外から通信が届くような構成を
していないため、すぐにでも被害があるという状況にはならないと思いますが、
一方で既製品はCGIのURL構成などが全て一緒になっているため、
狙いを定めた攻撃 を考えやすいという面もあり、油断はできません。
 

 
ファームウェアのアップデートを試みると、「これで最新だ」と
言われてしまいますが、直接QNAPのサイトに行ってみると、
 
■QNAP ダウンロードセンター
http://www.qnap.com/v3/jp/product_x_down/
 

 
なんと、さらに新しいファームウェアが公開されていました。
どうやらshellshock問題のために 緊急fix を出したようです。
9/25、9/27と立て続けに新ファームウェアが公開されています。
 

 
ここからファイルを直接ダウンロードしてきて、ファームウェアを
手動アップデートすることで最新版にすることができました。
 

 
以前のverだとNGが出ていた検証コードが、今回は通らなくなっています。
めでたしめでたし・・・と言いたかったところなのですが、
 

 
 
 Oh.... (2回目)
 
 
別の検証コードではまたNGが出ています。どうも対処が不十分のようです。
このあとさらにファームウェアのverが上がることになるかもしれません。
 
繰り返しになりますが、昨今はNASを置けばそれはサーバですし、
HDDレコーダ を置けばそれもサーバですし、ゲーム機 を繋げればそれもサーバです。
もっといえば ブロードバンドルータ そのものもまた然りです。
外部との通信が可能なものは常に、何かしらの脆弱性が見つかったときに
喰いものにされる危険性と表裏一体となります。
 
私たち素人である消費者は、PCやスマホだけでなく、こうした通信機器に
囲まれた生活の中で、それらを安全に運用し続けていくことが果たして
可能でしょうか。普通のガジェットに「踏み台にされる危険が!」といった
警告情報が出たとき、みんながみんな 適切にパッチを 当てられるものでしょうか。
 
shellshock問題で慌てる中、なぜかNASと向き合って対処作業をしている自分を見て
何ともいえない光景だなぁと、あらためて溜め息交じりで感じたひと幕でした。
 
※追記 10/1のホットフィックスのお話を書きました。
■2014/10/04 [bash脆弱性(shellshock)でNASが狙われているというお話、QNAPの最新ホットフィックス適用
bash脆弱性(shellshock)でNASが狙われているというお話、QNAPの最新ホットフィックス適用]


2014/09/30 [updated : 2014/09/30 23:45]


この記事を書いたのは・・・。
CK@デジモノに埋もれる日々 @ckom
ブログ「デジモノに埋もれる日々」「アニメレーダー」「コミックダッシュ!」管理人。デジモノ、アニメ、ゲーム等の雑多な情報をツイートします。




« ストライクウィッチーズ OVA Vol.1「サン・トロンの雷鳴」を観てきました。
トップに戻る
bash脆弱性(shellshock)でNASが狙われているというお話、QNAPの最新ホットフィックス適用 »


▼ はてなブックマークのコメント ▼

takeshich 2014/10/01
わかってるところはわかってるよねぇ。だよねぇ。
John_Kawanishi 2014/10/05
http://cdn-ak.b.st-hatena.com/entryimage/229944781-1412151398_l.jpg
mongrelP 2014/10/11
イントラでも中で踏めばそうなるよなぁ…
はてなブックマークで
コメントしましょう

2014/10/04

bash脆弱性(shellshock)でNASが狙われているというお話、QNAPの最新ホットフィックス適用
2021/09/19

データコピーに「丸4日」。QNAP TS-253D と 14TB HDD×2基で宅内NASを一新する。
2016/08/16

QNAP TS-220 を「4TB×2」→「8TB×2」化。リビルド26時間、バックアップ29時間!
2014/04/27

QNAP TS-220 が突然の状態異常に! 再起動で回復はしたもののちょっと不安。
2014/04/02

QNAP TS-220 で4TBミラーを構築、パフォーマンスも含めて現状は満足
2014/04/01

QNAP TS-220のセットアップを開始。クラウドからのセットアップが動かない?!
2014/03/31

3TBのNASが埋まってきたので、4TB NASの増設計画、選んだのは QNAP TS-220
2022/06/30

QNAP TS-253D のファームウェア更新にハマって延々1週間以上も格闘することに・・。
2014/01/16

あまとも通信 - QNAPの横型NAS HS-210 が値下がり
2013/11/05

QNAPのAV機器風RAID NAS「HS-210 Silent NAS」はホットスワップも可能
2013/10/28

もう何度目なのか・・! NASのHDDがクラッシュしました(異音動画あり)
2013/09/08

RAID-1 NASのHDD 1基が突然クラッシュ?! 慌てずに交換・リビルドを実行

ピックアップタグ




ブログ内検索



▼ コメント ▼

No.63563   投稿者 : 匿名   2014年10月 3日 23:08

いつも大変お世話になっております。
この記事のおかげで、bash脆弱性を知りました。
理解はできませんが、Firmwareの更新をしました。
10月1日付けで「Qfix for Bash security patch」が上がっておりました。
ありがとうございました。



★コミックダッシュ! 10,000人突破ありがとうキャンペーン!(9/18~10/23)
 
デジモノに埋もれる日々 : (C) CKWorks