OpenSSHの脆弱性にSSM Inventoryを利用して対応してみた

Transcript

1. 東京オフィス(本社) 〒108-0073 東京都港区三田3-13-16 三田43MTビル12F ベトナムオフィス 7th Floor, Mercury Building, No.444

   Hoang Hoa Tham Street, Thuy Khue ward, Tay Ho District, Hanoi city 札幌オフィス 〒060-0004 北海道札幌市中央区北4条西6-1 毎日札幌会館9F シリコンバレーインキュベーションセンター 3350 Scott Blvd. #29 Santa Clara, CA 95054 株式会社ビッグツリーテクノロジー＆コンサルティング OpenSSHの脆弱性にインベントリ情報を使って 対応してみた 2024年7月12日

2. 2 Copyright © 2024 BTC Corporation All Rights Reserved. 自己紹介

   宇都宮 郁香（うつのみや ふみか） • 株式会社ビッグツリーテクノロジー＆コンサルティング • 2022年 新卒入社 3年目 • DX事業部所属 • 新卒から現在まで某官公庁のクラウドCoE業務を担当 ＜保有資格＞

3. 3 Copyright © 2024 BTC Corporation All Rights Reserved. 1

   OpenSSHサーバの脆弱性 脆弱性の概要 • 2024年7月1日に、glibcベースのLinuxシステム上のOpenSSHサーバに脆弱性が発見されました。 • 本脆弱性が悪用されることで、認証されていない攻撃者によって、リモートからroot 権限による任意のコマンド 実行が行われる可能性があります。 • 重大度は「High (重要) CVSS8.1」と評価されています。 影響を受ける可能性があるバージョン • OpenSSH 4.4p1より前 • OpenSSH 8.5p1から9.7p1 今月上旬に、OpenSSHサーバの脆弱性が報告されました。

4. 4 Copyright © 2024 BTC Corporation All Rights Reserved. 1

   OpenSSHサーバの脆弱性への対応 クラウドCoEとして、各システムから集約しているインベントリを確認し、AWS（32環境）・Azure （4環境）に、脆弱性の影響を受けるOpenSSHサーバがインストールされていないか確認しました。 脆弱性発見 脆弱性の内容確認 インベントリを確認し、 該当のバージョンの OpenSSHを利用してい るシステムを特定 該当システムへ連絡 • インベントリ収集機能を活用することで、脆弱性の対象となるバージョンがインストールされているシステムを、 脆弱性発見後1営業日以内で特定し、対応を依頼することができました。 省内への連絡

5. 5 Copyright © 2024 BTC Corporation All Rights Reserved. 2

   AWSの構成 リソースデータ の同期 S3 クローラ マネジメント コンソール 管理者アカウント アカウントA リソースデータ の同期 リソースデータ の同期 データカタログ Athena Glue アカウントB アカウントC 各アカウントから集約したインベントリを、管理者アカウントのS3に集約し、Systems Manager Inventoryからインベントリを確認することができます。 S3に集約した各アカウントの インベントリをSSM Inventoryの ダッシュボードに表示

6. 6 Copyright © 2024 BTC Corporation All Rights Reserved. 2

   AWSで確認できるインベントリ情報 • 脆弱性が報告されているバージョンのOpenSSHを利用しているアカウント及びEC2を特定できました。 • コンソールからは検索性が悪いため、CSVへエクスポートして確認することを推奨します。 インベントリ情報が詳細で、対応が必要なEC2を迅速に特定し、対応を取ることができました。

7. 7 Copyright © 2024 BTC Corporation All Rights Reserved. 3

   Azureの構成 Azure Automation Log Analytics VM Azure Portal サブスクリプションA VMからLog Analyticsへの インベントリ収集を制御 VMのインベントリをLog Analyticsに集約しています。

8. 8 Copyright © 2024 BTC Corporation All Rights Reserved. 3

   Azureで確認できるインベントリ情報 • OpenSSHサーバを利用していることはわかるが、Azureからはバージョンが不明なため、追加の調査が必要 • 今回の場合は、OSがWindowsのため、発見された脆弱性の対象外 インベントリから、ソフトウェア情報のバージョンまで確認できないという課題がありました。

9. 9 Copyright © 2024 BTC Corporation All Rights Reserved. 4

   取得可能なインベントリ情報 AWS Azure アプリケーション ファイル ネットワーク設定の詳細 Window 更新 インスタンスの詳細 サービス タグ AWS コンポーネント Windows レジストリ Windows ロール カスタムインベントリ アプリケーションについての情報（アプリケーション名、発行元など）を確認できます。 ドライバーやエージェントについての情報を確認できます。 ファイルについての情報（ファイル名、サイズなど）を確認できます。 ネットワークについての詳細情報（IPアドレス、MACアドレスなど）を確認できます。 Windowsに適用されているパッチについての情報を確認できます。 インスタンスの詳細情報（CPU名、カーネルのバージョンなど）を確認できます。 サービスについての情報（名前、表示名、ステータスなど）を確認できます。 インスタンスに割り当てられるタグの情報を確認できます。 レジストリ（設定情報のデータベース）についての情報を確認できます。 Active Directoryで管理しているサーバやソフトウェアについての情報を確認できます。 マネージドインスタンスに割り当てられたメタデータを確認できます。 Windows ソフトウェア Windows ファイル Windows レジストリキー Windows サービス Linux ソフトウェア Linux ファイル Linux デーモン 適用されたWindows更新プログラムやパッケージ、ミドルウェアの情報を確認できます。 特定のファイルの変更履歴を記録し、変更前後を確認できます。 特定のレジストリキーについての情報を確認できます。 Windowsサービスの情報と状態を確認できます。 OS及びアプリケーションやミドルウェアについての情報を確認できます。 特定のファイルの変更履歴を記録し、変更前後を確認できます。 Linuxデーモン(サービス、常駐プロセス)の情報と状態を確認できます。 AWSではより詳細なインベントリを取得することが可能です。

10. 10 Copyright © 2024 BTC Corporation All Rights Reserved. 5

    今回わかったAWSのインベントリ収集の課題 課題 • 削除されたEC2のインベントリがダッシュボードに表示されることで、脆弱性のあるソフトウェアを確認しても、 それが存在しているのか管理者からはわからない。 原因 • 本構成では、S3に保存されているインベントリを、SSM Inventoryに表示している。 • EC2が削除されたところで、S3に保存されているインベントリ情報も一緒に削除されるわけではないため、 ダッシュボードにデータが残り続けてしまう。 AWSではすでに削除されたEC2のインベントリがダッシュボードに表示されてしまいます。 S3 クローラ マネジメント コンソール 管理者アカウント リソースデータ の同期 データカタログ Athena Glue アカウント

11. 11 Copyright © 2024 BTC Corporation All Rights Reserved. 5

    今回わかったAWSのインベントリ収集の課題 S3のライフサイクルポリシーを利用し、一定期間経過したインベントリを削除orアーカイブ • S3に保存されているインベントリを、一定期間経過したら削除orアーカイブするライフサイクルポリシーを設定 → 作成後しばらく更新がないものの、現在起動中または今後起動する可能性のあるEC2のインベントリ まで削除されてしまうリスクがある。 • S3には、EC2インスタンス（マネージドインスタンス）ごとにオブジェクトが作成される。 → EC2が削除されたら、オブジェクトを削除すればSSM Inventoryのダッシュボードには表示されない。 不要なインベントリをダッシュボードから見えないようにする仕組みを検討しました。

12. 12 Copyright © 2024 BTC Corporation All Rights Reserved. 5

    今回わかったAWSのインベントリ収集の課題 インベントリ 収集用S3 クローラ マネジメント コンソール 管理者アカウント リソースデータ の同期 データカタログ Athena Glue アカウント CloudTrail CloudWatch Logs オブジェクト削除用 Lambda TerminateInstances でフィルター （構成案） 他アカウント（Organizationなし）のEC2の削除を検知するための仕組みを検討しました。 EC2の削除を検知し、該当のS3オブジェクトを削除 • EC2の削除を検知し、S3バケットから該当のオブジェクトを削除する。 → CloudTrailのログから「TerminateInstances」を確認し、削除されたEC2インスタンスを特定後、該当 のオブジェクトを削除する仕組みを作る

13. 13 Copyright © 2024 BTC Corporation All Rights Reserved. さいごに

    ご清聴ありがとうございました！