Bleeping Computerは1月3日(米国時間)、「Nearly 11 million SSH servers vulnerable to new Terrapin attacks」において、インターネットに公開されているSSHサーバのうち1,100万台が「Terrapin」攻撃に対して脆弱だとして、注意を呼び掛けた。

  • Nearly 11 million SSH servers vulnerable to new Terrapin attacks

    Nearly 11 million SSH servers vulnerable to new Terrapin attacks

Terrapin攻撃の概要

Terrapin攻撃はSSHプロトコルを標的としたプレフィックス切り捨て攻撃。接続初期に行われるハンドシェイク中にシーケンス番号を慎重に調整することで、クライアントおよびサーバに気づかれることなく送信された任意の量のメッセージを削除できる。

この攻撃により、安全性の低いクライアント認証アルゴリズムを使用させたり、キーストロークの不明瞭化を無効にするなどセキュリティのダウングレードが可能とされる(参考:「SSHのセキュリティを弱体化させる新しい攻撃手法「Terrapin」に注意 | TECH+(テックプラス)」)。

Terrapin攻撃を受ける可能性があるサーバの実態

セキュリティ監視プラットフォームを提供するShadowserverはXへの投稿で、インターネット上に公開されているSSHサーバのうちTerrapin攻撃に脆弱なサーバが1,100万台ほど存在し、全体の約52%を占めると報じた。

  • Shadowserverの投稿 - 提供:X

    ShadowserverのXへの投稿

Shadowserverの調査によると、脆弱性の影響を受けるSSHサーバは米国が約330万台と最も多く、これに、中国(130万台)、ドイツ(100万台)、ロシア(70万台)、シンガポール(39万台)、日本(38万台)が続いている。これらSSHサーバは常に脅威にさらされているわけではない点に注意。この攻撃を実行するには中間者攻撃が可能な環境が必要とされる。

Terrapin攻撃への対策

日本国内においても多数の脆弱なSSHサーバが確認されており、SSHサーバの管理者には影響を確認して対策することが推奨されている(参考:「Terrapin Attack - Patches」)。2023年12月18日(カナダ時間)、OpenBSDプロジェクトはTerrapin攻撃へのセキュリティ修正を含むOpenSSH 9.6/9.6p1のリリースを発表している。

OpenSSHはこの攻撃による影響は限定的と評価しており緊急の対応は求めていないが、必要に応じてアップデートすることが望まれている。