《最終更新 2024年9月4日 9:30》

平素は当社サービスをご利用いただき誠にありがとうございます。

Check Point社から、OpenSSHの脆弱性に関する情報が公開されています。
本脆弱性について、影響範囲と対応方法をご案内いたします。

脆弱性の基本情報

脆弱性による影響	OpenSSHサーバー（sshd）コンポーネントに含まれる脆弱性で、悪用された場合、リモートからroot権限で任意のコード実行をされる恐れがある。
CVE番号	CVE-2024-6387
CVSS Base Score	8.1 (High)

対象ファームウェア

• R81.10.00～R81.10.10（対策済バージョンを除く）（2024/09/04 9:30更新）
• R80.20.60 （2024/08/07 16:15更新）

恒久対策

脆弱性対策済のOpenSSHバージョンを含むファームウェアへの更新が恒久対策となります。

（2024/09/04 9:30更新）
対策済のファームウェアバージョンは次の通りです。

• R81.10.08 ビルド996001759
• R81.10.10 ビルド996002993

一時的対策について

本脆弱性はSSHアクセスを許可しない限り悪用されないため、リモートからのSSHアクセスを限定することで対策が可能です。
Check Point UTMのSSHアクセス許可設定は、以下の手順で変更が可能です。

1. Check Point UTMのWeb UIに、管理者権限でログインします
2. 「デバイス」メニュー > 「管理者アクセス」メニューを開きます
3. 次の表を参考に設定し、最後に画面下部の「適用」をクリックします

 

指定したグローバルIPアドレスからのみ、リモートSSHアクセスを許可する	「管理者アクセスを許可する発信元を選択してください。」の設定項目で、【インターネット】のチェックを入れる 「上記で選択した発信元からのアクセスを下記のIPアドレスから許可」の設定項目で、【インターネットからの指定IPアドレスとインターネット以外からの任意のIPアドレス】を選択する 「新規」ボタンをクリックし、許可する対象のグローバルIPアドレスを入力し、「適用」をクリックする
リモートSSHアクセスを全て許可しない	「管理者アクセスを許可する発信元を選択してください。」の設定項目で、【インターネット】のチェックを外す ※ この設定を行った場合、リモートからのWEB UIアクセスも遮断されます。弊社サポートサービスの提供に必要な通信が遮断されるため、サポートサービスをご契約の場合、原則として「指定したグローバルIPアドレスからのみ、リモートSSHアクセスを許可する」を推奨いたします。

参考情報：宝情報推奨設定について

弊社では、Check Point UTMに対するリモートSSHアクセスは、指定したグローバルIPアドレスからのみ許可することを推奨しております。

弊社サポートサービスをご契約の場合、特にご指定が無い限り、新規登録手続きの際に「指定したグローバルIPアドレスからのみ、リモートSSHアクセスを許可する」に準じた設定変更を実施しております。

以上