-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-AT-2000-0006 JPCERT/CC 緊急報告 - named サーバプログラムを悪用したアタック 初 版: 1998/06/04 (Ver.01) 発 行 日: 2000/08/25 (Ver.02) 有効期限: 2000/08/31 最新情報: http://www.jpcert.or.jp/at/2000/at000006.txt ====================================================================== I. 状況説明 JPCERT/CC は、named プログラム (一部のシステムでは in.named という名 前でインストールされています) の弱点を悪用しようとする不正アクセスにつ いて、いくつかの報告を受け取りました。named は、ドメインネームシステム (DNS) を実装した代表的なソフトウェアである BIND に含まれており、DNS の ネームサーバとして多くのサイトで利用されています。そのため、適切な対策 をとらずに放置すれば、影響が広範囲に及ぶおそれもあります。 セキュリティ上の弱点を含む named プログラムがインストールされている システムでは、リモートから管理者 (root) 権限で、任意のコマンドを実行さ れたり、任意のプログラムを送り込まれた上でそれらを実行されたりする可能 性があります。この弱点が悪用されると、ホストのパスワードファイル等のセ キュリティ上重要なファイルを改ざんされたり、その他さまざまな不正アクセ スを管理者権限で実行される可能性もあります。 また、セキュリティ上の弱点を含む named プログラムがインストールされ ているシステムでは、リモートから named を停止させられる可能性がありま す。その結果として、さまざまなネットワークサービスの運用の妨げとなる可 能性があります。 JPCERT/CC は、これらのセキュリティ上の弱点を含む named プログラムを 直ちにバージョンアップすることを強く推奨します。 II. 想定される影響 直接の影響としては、 ・攻撃者にリモートから管理者 (root) 権限を不正に入手される 可能性があります。その際に、 ・不正なプログラムを送り込まれ、それを管理者権限で実行される 可能性があります。また、それらを利用して、ホストのパスワードファイル等 セキュリティ上重要なファイルの改ざん、裏口の設置など、さまざまな不正ア クセスを管理者権限で実行される可能性があります。さらに侵入されたまま放 置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあ ります。 他に、 ・攻撃者にリモートから named を停止させられる 可能性もあります。この場合、多くのネットワークサービスの正常な運用が妨 げられる可能性があります。 III. 対策 セキュリティ上の弱点を含む named プログラムがシステムにインストール されている場合には、早急に対策 (1) を実施されることを強く推奨します。 (1) named プログラムのバージョンアップ (2) 全ユーザのパスワードの変更と不要なアカウントの削除 (3) システムの再構築 また、万が一、この不正アクセスが成功した場合には、システムのログが改 ざんを受ける可能性があります。ログが改ざんされてしまうと、ログのチェッ クだけでは不正アクセスを検出することはできません。そのため、たとえシス テムのログに異常がなくても、不正アクセスを受けている可能性が否定できな い場合には、参考情報 IV. [1][2]、および、次の URL に示す文書等を参考に して、入念な調査を実施することが必要です。 http://www.cert.org/tech_tips/intruder_detection_checklist.html http://www.cert.org/tech_tips/win-UNIX-system_compromise.html すでに攻撃を受け、管理者 (root) 権限を悪用された可能性が否定できない 場合には、上記の対策に加え、再発防止のため (2) (3) の対策をとられるこ とを推奨します。 なお、対策 (1) については、今回不正アクセスを受けていない場合でも、 予防対策として実施しておかれることを推奨します。 (1) named プログラムのバージョンアップ セキュリティ上の弱点を含むバージョンの named プログラムを利用して いる場合には、直ちにベンダが提供する修正版にバージョンアップするか、 または The Internet Software Consortium (http://www.isc.org/) が公 開している最新版の BIND に含まれる named をインストールすることを 強く推奨します。 セキュリティ上の弱点を含む named プログラムのインプリメンテーショ ン、バージョン、およびバージョンアップに必要な情報の所在については、 参考情報 IV. [3] をご参照ください。 The Internet Software Consortium による BIND の最新版は下記で公開 されています。 [Internet Software Consortium - BIND] http://www.isc.org/products/BIND/ BIND については、異なるセキュリティ上の弱点が過去にも報告されてい ます。詳しくは、参考情報 IV. [4] をご参照ください。 注: named のバージョンアップの副作用として、古い版の BIND に基く nslookup は利用できなくなる場合があります。この場合には、nslookup のバージョンアップを合わせて実施されるか、同等な機能を有する他のソ フトウェアを利用されることをお奨めします。 (2) 全ユーザのパスワード変更と不要なアカウントの削除 この不正アクセスが成功した場合には、不正なアカウントが登録されたり、 当該ホストに登録されているユーザのアカウント名が流出しパスワードが 破られた可能性があります。そこで、登録している全ユーザのパスワード を変更します。パスワードを設定する際には、容易に類推されないような パスワード文字列を選択します。また不要・不審なアカウントが登録され ている場合には、それらのアカウントを削除します。 (3) システムの再構築 管理者権限が悪用されると、セキュリティ上重要なファイルを改ざんされ たり、裏口やトロイの木馬などをシステム内部に仕掛けられたりする可能 性があります。そのため、ホストへの不正侵入の可能性が否定できない場 合には、システムの再構築が必要となります。 なお、再構築の際に、システムのバックアップ情報を利用される場合には、 そのバックアップ自体に既に不正なプログラムや情報等が記録されてしまっ ていないか、十分にご注意頂くことをお奨めいたします。 IV. 参考情報 named プログラムのセキュリティ上の弱点を悪用しようとするアタックにつ いては、次の参考資料もご参照ください。 [1] CS-98.04 - SPECIAL EDITION http://www.cert.org/summaries/CS-98.04.html [2] CS-98.05 - SPECIAL EDITION http://www.cert.org/summaries/CS-98.05.html [3] CA-98.05: Multiple Vulnerabilities in BIND http://www.cert.org/advisories/CA-98.05.bind_problems.html [4] CA-97.22: BIND - the Berkeley Internet Name Daemon http://www.cert.org/advisories/CA-97.22.bind.html ________ <JPCERT/CC からのお知らせとお願い> 今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな 不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供く ださいますようお願いします。JPCERT/CC の所定の様式 http://www.jpcert.or.jp/form.txt にご記載のうえ、関連するログファイルのメッセージとともに、 info@jpcert.or.jp までお送りください。 JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、 http://www.jpcert.or.jp/ をご参照ください。 _________ 注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と したものではありません。個別の問題に関するお問い合わせ等に対して必ずお 答えできるとは限らないことをあらかじめご了承ください。また、本件に関す るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき ください。 注: この文書は、不正アクセスに対する一般的な情報提供を目的とするもの であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも のではありません。また JPCERT/CC は、この文書に記載された情報の内容が 正確であることに努めておりますが、正確性を含め一切の品質についてこれを 保証するものではありません。この文書に記載された情報に基づいて、貴方あ るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起 こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。 _________ 1998 (c) JPCERT/CC この文書を転載する際には、全文を転載してください。また、転載は2000年 8月31日以降は行なわないようにしてください。なお、これは、この文書の内 容が2000年8月31日まで有効であることを保障するものではありません。情報 は随時更新されている可能性がありますので、最新情報については http://www.jpcert.or.jp/at/ を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原 典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。 JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。 http://www.jpcert.or.jp/jpcert.asc _________ 更新履歴 2000/08/25 参照 URL の更新 1998/06/04 First Version. -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia iQCVAwUBOaYipox1ay4slNTtAQHBngQAjFN83MBW8IhV8axBk9gO1XMhAvZtMsW2 Ja73tEYlXzZIc50GBUNdMWyiNTiR1+u+iTa9vbSmoe7bKX24hybgPwwGIomjZ/NW ab7CzX7kpu0GZElI4VQ59tloTN/lqwtLh0NQ1m6a1frBA/3DstD8SxM4ocLoiWsb FRe+VdZxxbw= =q/Rn -----END PGP SIGNATURE-----