-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-E-INF-98-0001-01 JPCERT/CC 緊急報告 - statd サーバプログラムを悪用したアタック 初 版: 1998/02/26 (Ver.01) 有効期限: 1998/03/06 最新情報: http://www.jpcert.or.jp/info/98-0001/ ====================================================================== I. 状況説明 いくつかの OS に標準で含まれている statd プログラム (一部のシステム では rpc.statd という名前でインストールされています) には、セキュリティ 上の弱点が含まれています。JPCERT/CC は、これらの弱点を悪用しようとする 不正アクセスについて、いくつかの報告を受け取りました。 セキュリティ上の弱点を含む statd プログラムがインストールされており、 かつサービスを受けつける設定になっているシステムでは、リモートから管理 者 (root) 権限で、任意のコマンドを実行されたり、あるいは任意のプログラ ムを送り込まれた上でそれらを実行される可能性があります。この弱点が悪用 されると、ホストのパスワードファイル等のセキュリティ上重要なファイルを 改ざんされたり、その他さまざまな不正アクセスを管理者権限で実行される可 能性もあります。 JPCERT/CC は、これらのセキュリティ上の弱点を含む statd プログラムを 直ちにバージョンアップする、あるいはサービスを使用不能にすることを推奨 します。 II. 想定される影響 直接の影響としては、 ・攻撃者にリモートから管理者 (root) 権限を不正に入手される 可能性があります。その際に、 ・不正なプログラムを送り込まれ、それを管理者権限で実行される 可能性があります。また、それらを利用して、ホストのパスワードファイル等 セキュリティ上重要なファイルの改ざん、裏口の設置など、さまざまな不正ア クセスを管理者権限で実行される可能性があります。さらに侵入されたまま放 置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあ ります。 III. statd プログラムを悪用したアタックの見分け方 システムのログファイル中に、statd プロセスが出力した不審なメッセージ が記録されているか確認します。多くの場合、ログファイルの場所は、 /etc/syslog.conf に記述されています。 特に、次のように見える文字列を含む行があった場合には、セキュリティ上 の弱点を含むバージョンの statd プログラムが動作していた可能性があり、 かつ、statd プログラムを悪用したシステムへの攻撃がすでに行なわれている 可能性があります (実際には表示できない文字が含まれているため、ここでは 便宜的に空白文字に置き換えています)。 Mar 13 12:34:56 YOUR.HOST.NAME statd[44]: attempt to create "/var/statmon/sm//../../../../../../../../../../../../../../../../../../ ../../../../../../../../../../../../../../../../../../../../../../../../ ../../../../../../../../../../../../../../../../../../../../../../../../ ../../../../../../../../../../../../../../../../../../..//../../../../.. /../../../../../../../../../../../../../../../../../../../../../../../.. /../../../../../../../../../../../../../../../../../../../../../../../.. /../../../../../../../../../../../../../../../../../../../../../../../.. /../../../../../../../../../../tmp/.nfs09 D H $ $ $ $ ` O * * * * # # P *` c 6 ) # # ; # XbinXsh tirdwr " さらに、攻撃が成功した場合には、管理者権限でさまざまなプログラムを実 行される可能性があるため、一般ユーザ権限では変更できないはずのシステム ログが改ざんを受ける可能性もあります。万が一、システムログが改ざんされ てしまうと上述の方法で不正アクセスを検出することはできません。そのため、 たとえシステムログに異常がなくても、不正アクセスを受けている可能性が否 定できない場合には、次の URL に示す文書を参考にして、不正アクセス検出 のため調査を行われることを推奨します。 ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/ intruder_detection_checklist IV. 対策 セキュリティ上の弱点を含む statd プログラムがシステムにインストール されている場合には、早急に次の (1)(2) いずれかの対策をとられることを強 く推奨します。 また、すでに攻撃を受け、管理者 (root) 権限を悪用された可能性が否定で きない場合には、上記の対策に加え、再発防止のため (3)(4) の対策をとられ ることを推奨します。 (1) statd プログラムのバージョンアップ (2) statd プロセスの停止 (3) 全ユーザのパスワードの変更と不要なアカウントの削除 (4) システムの再構築 なお、(1)(2) については、今回不正アクセスを受けていない場合でも、予 防対策として実施しておかれることを推奨します。 (1) statd プログラムのバージョンアップ セキュリティ上の弱点を含むバージョンの statd プログラムを利用して おり、サービスを停止することができない場合には、直ちに最新版にバー ジョンアップすることを強く推奨します。 セキュリティ上の弱点を含む statd プログラムのインプリメンテーショ ン、バージョン、およびバージョンアップに必要な情報の所在については、 参考情報 IV. [2] をご参照ください。 また statd プログラムは、異なるセキュリティ上の弱点が過去にも報告 されています。詳しくは、参考情報 IV. [3] をご参照ください。 (2) statd プロセスの停止 もし、ホストが NFS クライアントや NFS サーバでなければ、statd プロ セスを停止しても問題ありません。このように、NFS のサービスを使用し ていない場合には、直ちに statd プロセスを停止することを強く推奨し ます。 statd プロセスは、多くの場合、/etc/rc* か、/etc/rc*.d/* にあるスク リプトファイルから起動します。statd プロセスを停止するには、これら のファイルを編集して statd に関する記述部分をコメントアウトします。 さらに動作中の statd プロセスを停止するため、ps コマンドを使ってプ ロセス ID を調べ、kill コマンドで終了させます。 (3) 全ユーザのパスワード変更と不要なアカウントの削除 この不正アクセスが成功した場合には、当該ホストに登録されているユー ザのアカウント名が流出しパスワードが破られたり、不正なアカウントが 登録されている可能性があります。そこで、登録している全ユーザのパス ワードを変更します。パスワードを設定する際には、容易に類推されない ようなパスワード文字列を選択します。また不要・不審なアカウントが登 録されている場合には、それらのアカウントを削除します。 (4) システムの再構築 管理者権限が悪用されると、セキュリティ上重要なファイルを改ざんされ たり、裏口やトロイの木馬などをシステム内部に仕掛けられたりする可能 性があります。外部からのアクセスログ等を確認し、ホストへの不正侵入 の可能性が否定できない場合には、システムの再構築を行なう必要があり ます。 IV. 参考情報 statd プログラムのセキュリティ上の弱点を悪用しようとするアタックにつ いては、次の参考資料もご参照ください。 [1] CA-97.26: Buffer Overrun Vulnerability in statd(1M) Program [Original] ftp://info.cert.org/pub/cert_advisories/CA-97.26.statd [Mirror] ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.26.statd [2] CS-98.01 - SPECIAL EDITION [Original] ftp://info.cert.org/pub/cert_summaries/CS-98.01 [Mirror] ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-98.01 [3] CA-96.09: Vulnerability in rpc.statd [Original] ftp://info.cert.org/pub/cert_advisories/CA-96.09.rpc.statd [Mirror] ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-96.09.rpc.statd ________ <JPCERT/CC からのお知らせとお願い> 今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな 不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供く ださいますようお願いします。JPCERT/CC の所定の様式 http://www.jpcert.or.jp/form.html にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 _________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも のではありません。また JPCERT/CC は、この文書に記載された情報の内容が 正確であることに努めておりますが、正確性を含め一切の品質についてこれを 保証するものではありません。この文書に記載された情報に基づいて、貴方あ るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起 こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 _________ 1998 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。また、転載は1998年 3月6日以降は行なわないようにしてください。なお、これは、この文書の内容 が1998年3月6日まで有効であることを保障するものではありません。情報は随 時更新されている可能性がありますので、最新情報については http://www.jpcert.or.jp/info/98-0001/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key _________ 更新履歴 1998/02/26 First Version. -----BEGIN PGP SIGNATURE----- Version: 2.6.3i iQCVAwUBNPU7Nox1ay4slNTtAQEJeAP8CHc7t0q+SiUqNNefC+p7ZmwtiYNB4rW7 eNh0T04/+uOtekU350tFdZ0eTYvx16SCeHszCIuw35MONGQbyB28LYT3ek2Jgawb srpzyO7VRlPKMugexytpWnWbSYWm+Tc2PkDniHxaj5D5mNaKrzlJh1GjENpNi4Pc 3Z3CSpSPF8A= =f8gE -----END PGP SIGNATURE-----