-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-E-INF-99-0001-01 JPCERT/CC 緊急報告 - NFS マウントデーモン mountd を悪用したアタック 初 版: 1999/04/22 (Ver.01) 有効期限: 1999/04/30 最新情報: http://www.jpcert.or.jp/info/99-0001/ ====================================================================== I. 状況説明 多くの Linux ディストリビューションで NFS マウントデーモンとして収録 されている mountd プログラム (rpc.mountd という名前でインストールされ ます) のいくつかのバージョンには、セキュリティ上の弱点が含まれています。 JPCERT/CC は、この弱点に関連した不正アクセスについて報告を受け取ってい ます。 セキュリティ上の弱点を含むバージョンの mountd がインストールされてお り、かつサービスを受け付ける設定になっているシステムでは、リモートから 管理者 (root) 権限で、任意のコマンドを実行されたり、あるいは任意のプロ グラムを送り込まれた上でそれらを実行される可能性があります。この弱点が 悪用されると、ホストのパスワードファイル等のセキュリティ上重要なファイ ルを改ざんされたり、その他さまざまな不正アクセスを管理者権限で実行され る可能性もあります。 JPCERT/CC は、セキュリティ上の弱点を含むバージョンの mountd を直ちに バージョンアップするか、サービスを停止することを推奨します。 II. 想定される影響 直接の影響としては、 ・攻撃者にリモートから管理者 (root) 権限を不正に入手される 可能性があります。その際に、 ・不正なプログラムを送り込まれ、それを管理者権限で実行される 可能性があります。また、それらを利用して、ホストのパスワードファイル等 セキュリティ上重要なファイルの改ざん、裏口の設置など、さまざまな不正ア クセスを管理者権限で実行される可能性があります。さらに侵入されたまま放 置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあ ります。 III. mountd の動作確認 ディストリビューションによっては、標準的なセットアップで mountd がイ ンストールされ、動作している場合があります。NFS サービス利用の有無に関 わらず、mountd の動作状況を改めて確認することを推奨します。 典型的な環境では、rpcinfo コマンドを利用することにより mountd の動作 状況を確認できます。mountd が動作している場合には、たとえば以下のよう な出力が得られます。 % /usr/sbin/rpcinfo -p | grep mountd 100005 1 udp 935 mountd 100005 2 udp 935 mountd 100005 1 tcp 938 mountd 100005 2 tcp 938 mountd rpcinfo コマンドの出力中に「mountd」という文字列を含んだ行がある場合 には、mountd がインストールされており、動作している状態になっています。 この文字列が見当たらない場合でも、mountd がインストールされている場合 には念のため IV 章の対策を構じることを推奨します。 IV. 対策 セキュリティ上の弱点を含む mountd がシステムにインストールされてい る場合には、早急に次の (1)、もしくは (2) の対策をとられることを強く推 奨します。 また、すでに攻撃を受け、管理者 (root) 権限を悪用された可能性が否定で きない場合には、上記の対策に加え、再発防止のため (3)(4) の対策をとるこ とを推奨します。 (1) mountd のバージョンアップ NFS サービスを利用しており、mountd を停止できない場合には、直ちに ディストリビューションの配布元が提供するパッチを当てるか、アップデー トパッケージをインストールすることを推奨します。パッチあるいはアッ プデートパッケージの詳細につきましては、ディストリビューションの配 布元等にお問い合わせ下さい。また、参考情報 [1] もご覧下さい。 もし、ディストリビューションのパッチやアップデートパッケージを入手 できない場合でも、nfs-server パッケージの最新版 (2.2beta35 以降) を以下より入手してインストールすることができます。 ftp://ftp.mathematik.th-darmstadt.de/pub/linux/okir/ なお、mountd のバージョンは以下のような方法で rpc.mountd コマンド を実行することにより確認できます。ただし、システムの環境や mountd のバージョンにより下記とは異なる出力結果が表示されることがあります。 % /usr/sbin/rpc.mountd -v Universal NFS Server 2.2beta36 もしも、直ちにバージョンアップすることができない場合には、一時的に サービスを停止することを推奨します。 (2) NFS サービスの停止 NFS サービスを使用していない等、サービスを停止することが可能な場合 には、直ちに mountd を停止することを強く推奨します。停止の方法は各 ディストリビューションによって異なりますので、ドキュメント等をご参 照下さい。 (3) 全ユーザのパスワード変更と不要なアカウントの削除 この不正アクセスが成功した場合には、当該ホストに登録されているユー ザのアカウント名とパスワードが流出している可能性があります。そこで、 登録している全ユーザのパスワードを変更します。パスワードを設定する 際には、容易に類推されないようなパスワード文字列を選択します。また 不要なアカウントが登録されている場合には、それらのアカウントを削除 します。 (4) システムの再構築 管理者権限が悪用されると、セキュリティ上重要なファイルを改ざんされ たり、裏口やトロイの木馬などをシステム内部に仕掛けられたりする可能 性があります。外部からのアクセスログ等を確認し、ホストへの不正侵入 の可能性が否定できない場合には、システムの再構築を行なう必要があり ます。 V. 参考情報 mountd のセキュリティ上の弱点を悪用しようとする攻撃については、次の 参考資料もご参照ください。 [1] CA-98.12: Remotely Exploitable Buffer Overflow Vulnerability in mountd [Original] ftp://info.cert.org/pub/cert_advisories/CA-98.12.mountd [Mirror] ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-98.12.mountd ________ <JPCERT/CC からのお知らせとお願い> 今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな 不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供く ださいますようお願いします。JPCERT/CC の所定の報告様式は次の URL にご ざいます。 http://www.jpcert.or.jp/contact.html 報告様式にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 _________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも のではありません。また JPCERT/CC は、この文書に記載された情報の内容が 正確であることに努めておりますが、正確性を含め一切の品質についてこれを 保証するものではありません。この文書に記載された情報に基づいて、貴方あ るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起 こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 _________ 1999 (C) JPCERT/CC この文書を転載する際には、全文を転載してください。また、転載は1999年 4月30日以降は行なわないようにしてください。なお、これは、この文書の内 容が1999年4月30日まで有効であることを保障するものではありません。情報 は随時更新されている可能性がありますので、最新情報については http://www.jpcert.or.jp/info/99-0001/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key _________ 更新履歴 1999/04/22 First Version. -----BEGIN PGP SIGNATURE----- Version: 2.6.3i iQCVAwUBNx7U/ox1ay4slNTtAQGQ4QP+Ixe9j9T7g0zTmNQIT8fhWiFSZFrBatVc BI1CSr9vidmDbA44Mz/IvCVKjSb1hgzqz+uDkjoGukJFhRfzQxkw76ByEf4L4R5A D+eYYylyUUFzH4c01hSxbVqisX/32W+SAyinWDh4+SRYdKY/hEcEg5chZ7Rb2ZO1 Ieqpfql0OJ4= =xoOy -----END PGP SIGNATURE-----