米パロアルトネットワークスはこのほど、同社の次世代ファイアウォール向けOS「PAN-OS」と統合管理製品「Panorama」に対し、「Bash」の脆弱性「CVE-2014-6271」を検知するシグネチャをリリースした。
通常のPAN-OSメンテナンスリリースのアップデートによって、同脆弱性に対する修正プログラムが提供される。
この脆弱性は、LinuxやUNIXを搭載しているルータやインターネット接続機器も影響を受けるため、対処が必要だ。
同社によると、同脆弱性を悪用する最も可能性の高い攻撃手法として、「mod_cgiおよびmod_cgidを実行しているApacheサーバがBashシェルを起動し、悪意あるHTTPヘッダを渡して脆弱性を悪用する変数をリクエストする」「OpenSSHがBashから渡された環境変数を解析し、この脆弱性を悪用して特権を得て脆弱な状態となる」の2つを挙げている。
リモートから悪用するには、ネットワーク経由でBashにアクセス可能なアプリケーションが起動される必要があり、最も一般的な攻撃シナリオはApacheが実行されCGIスクリプトが使われているWebサーバと考えられるという。
攻撃を防止するには、Bashを脆弱性の無いバージョンにアップグレードする必要があり、RedHat、Debian、Centos、Ubuntu、NovellといったLinuxディストリビューターがパッチを提供している。
同社は、Bashを更新できない場合、代替シェルへの置き換えが検討できるが、互換性の問題を引き起こす可能性があると注意を促している。
