危険度低の設定不備

日々プラットフォーム診断をしていく中で次の内容を発見してご報告させていただくことが多々あります。

いずれも「注意」や「情報」レベルと危険度は低いですがより安全なサーバとなるようにお客様の可能な範囲でご対応いただくことを推奨しています。

ご自身でサーバをセキュアに保つために構成変更をしていたり、これから脆弱性診断をしようとしているが再診断の数を減らすために診断前につぶしておきたいなどを考えている場合に少しでも参考になればと思います。

TLSv1.0 / TLSv1.1 の使用

TLSのバージョンとしてTLSv1.0とv1.1を使用して接続を許可しているWebサーバをよく見かけます。
大手ブラウザ4社やIETF発行されたドキュメント（draft-ietf-tls-oldversions-deprecate-00 ）より無効化することが推奨されています。
そのためTLSv2.0 と TLSv3.0のみで構成することが望ましいです。

弱い鍵交換アルゴリズムを使用しているSSHサービス

OpenSSHが稼働しているSSHサービスを発見した場合に次の鍵交換アルゴリズムの使用が許可されている場合がよくあります。

• rsa1024-sha1
• diffie-hellman-group-exchange-sha1
• diffie-hellman-group1-sha1
• gss-gex-sha1-*
• gss-group1-sha1-*
• gss-group14-sha1-*

これらのアルゴリズムはIETFより発行されている Key Exchange (KEX) Method Updates and Recommendations for Secure Shell(SSH) において安全でないため非推奨とされています。
もし許可している場合は使用しない設定が推奨されます。

弱い暗号化アルゴリズムを使用しているSSHサービス

もう一つSSHサービスの構成で多いのが、暗号化アルゴリズムにArcfour（RC4）が有効になっているパターンです。
次の暗号アルゴリズムが該当します。

• arcfour
• arcfour128
• arcfour256

これらは rfc4253（https://datatracker.ietf.org/doc/html/rfc4253#section-6.3）において使用するには注意が必要とアドバイスされています。

HTTP TRACE / TRACK メソッドの許可

HTTP TRACEを悪用した攻撃にCross-Site Tracingがありますが現在では攻撃を受ける可能性はとても低いと考えられます。
※条件としてWebサーバ側にXSSの脆弱性があり、なおかつ古いブラウザを使用しているに限られるため。

IPA発行の安全なウェブサイトの作り方（2021年3月31日改訂第7版第4刷公開）にも保険的対策として
TRACE メソッドを無効化することを推奨しています。
安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構

おわりに

今回取り上あげたのは危険度が低いためにサーバ構成の際に見落としがちな部分と思われます。
どれもバージョンアップなどの手間のかからない設定変更レベルで対処できますので、一度ご自身の管理するサーバ構成を見直してみてはいかがでしょうか。

▼セキュリティ脆弱性診断サービスサイト

▼現役セキュリティエンジニアが語るプラットフォーム診断とは？（関連ブログ）