VyOS 1.4.0にregreSSHion対策を施す

こんにちは。tukapiyoです。

数日前にregreSSHionという脆弱性が公表されましたね。
詳細は記事が色々と出ているので紹介だけします。

• regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog
• 認証なしでリモートコード実行　OpenSSHに“回帰”した脆弱性「regreSSHion」発覚 – ITmedia NEWS
• CVE-2024-6387 (regreSSHion)

さて、3つめのリンクについてはVyOSにおけるregreSSHion対応に関する記事ですが、要は「VyOS 1.4.0は脆弱性の対象になるため対策が必要」ということです。
今回はこの対策を行います。

対策にあたり

VyOSはルータでありSSHのアクセスを許可している環境も多いと思います。
うちでもSSHを有効としているのですが、元々日本のIPアドレスのみアクセスを許可していて、レート制限として1分間に3回以上のアクセスを受け付けないようにしています。

しかし実際には、中国の事業者がJPのIPアドレスとして登録しているようで、このような怪しいIPアドレスからSSHのアクセスが継続的に来ている状況です。
まぁ前述の通りでレート制限もあるので、regreSSHionの攻撃が成功するような多くの試行は困難ですが、気持ち悪いので対策しておきましょう。

対策方法

VyOS Blogで示されている対策方法としては以下の3つがあります。

1. 更新されたopenssh-server、openssh-client、openssl、libssl3パッケージをインストールできるホットフィックスをインストールする
   （サブスクリプションを契約しているユーザに限る）
2. openssh-server、openssh-client、openssl、libssl3パッケージを手動で更新する
3. VyOSのローリングリリースには更新されたパッケージが含まれるので、それをインストールする

うちはサブスクリプションを契約していないので、2つめのパッケージ手動更新を行うことにします。

パッケージ更新手順

手順は簡単で、必要なパッケージをダウンロードしてdpkgコマンドでインストールするだけです。

$ sudo su -
# wget http://security.debian.org/debian-security/pool/updates/main/o/openssh/openssh-server_9.2p1-2+deb12u3_amd64.deb
# wget http://security.debian.org/debian-security/pool/updates/main/o/openssh/openssh-client_9.2p1-2+deb12u3_amd64.deb
# wget http://ftp.jp.debian.org/debian/pool/main/o/openssl/openssl_3.0.13-1~deb12u1_amd64.deb
# wget http://ftp.jp.debian.org/debian/pool/main/o/openssl/libssl3_3.0.13-1~deb12u1_amd64.deb
# dpkg -i openssh-server_9.2p1-2+deb12u3_amd64.deb openssh-client_9.2p1-2+deb12u3_amd64.deb openssl_3.0.13-1~deb12u1_amd64.deb libssl3_3.0.13-1~deb12u1_amd64.deb
# exit
$ ssh -V
OpenSSH_9.2p1 Debian-2+deb12u3, OpenSSL 3.0.13 30 Jan 2024

最後の行のようにバージョンが表示されればアップデート完了です。