-----BEGIN PGP SIGNED MESSAGE-----

======================================================================
                                                   JPCERT-AT-2000-0004
                                                             JPCERT/CC

緊急報告  - ネットワークニュースのサービスを悪用したアタック -

初    版: 1997/03/18 (Ver.01)
発 行 日: 2000/08/25 (Ver.05)
有効期限: 2000/08/31
最新情報: http://www.jpcert.or.jp/at/2000/at000004.txt
======================================================================

INN の新しいリリース版が発表されました。詳細につきましては「IV. 対策」
を参照ください。

I. 状況説明

  JPCERT/CC は、ネットニュースの代表的なサーバプログラムである INN
(InterNetNews) のセキュリティホールを悪用しようとするコントロールメッ
セージが、海外のサイトから流されているという報告を受けました。

  INN がこのコントロールメッセージを受信すると、ホストのパスワードファ
イル等のセキュリティ上重要なファイルや情報を特定のメールアドレスに送信
するような不正なコマンドを実行しようとします。

  また、コントロールメッセージがニュースサーバを運用しているホストに配
送されると、それらホストがインターネットに直接接続されているか、あるい
は間接的に接続されているかを問わず、そのホストの情報が不正に盗まれる可
能性があります。JPCERT/CC は、直ちに INN をバージョンアップすることを
推奨します。


II. 想定される影響

  直接の影響としては、

    ・不正なコマンドの実行

と、それによる

    ・パスワードファイル等のセキュリティ上重要なファイルや情報の盗難

が主です。また、それらを利用してシステムに侵入されてしまうと、ルートの
パスワードを見破られる等々さまざまな影響が考えられます。さらに侵入され
たまま放置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可
能性もあります。


III. INN のセキュリティホールを悪用したアタックの見分け方

  INN のコントロールメッセージのログファイル、もしくはニュース管理者に
届いたメール中に /etc/passwd という文字列が含まれている場合は、不正な
コントロールメッセージによってパスワードファイルが流出している可能性が
あります。

  また、INN が稼働しているホスト上で、オーナが news である telnet プロ
セスあるいはその他の不審なプロセスが動作している場合、それらは不正なコ
ントロールメッセージによって起動された可能性があります。確認の上、直ち
にそれらの不審なプロセスを停止することを推奨します。

  また、Sendmail のログファイル中に from=news で始まる、心当りのないア
ドレスへのメール送信記録がないか調査することを推奨します。もしそのよう
な記録があった場合は、セキュリティ上重要な情報 (パスワードファイル等)
が流出している可能性があります。

  なお、これらのログが見当たらない場合でも、今後、不正なコントロール
メッセージが送られてくる可能性もあるため、IV 章の対策を講じられること
を強く推奨します。

IV. 対策

  不正アクセスが成功した場合には、当該コンピュータに登録されている利用
者のパスワードが流出している可能性があります。その場合には、再発防止の
ため、少なくとも次のような対策をとられることを推奨します。

    (1) INN をバージョンアップする
    (2) シャドーパスワードを利用する
    (3) 全ユーザのパスワードを変更する
    (4) システムを再構築する

  なお、(1)(2) については、今回不正アクセスを受けていない場合でも、予
防対策として実行しておかれることを推奨します。

  (1) INN のバージョンアップ

    INN を最新の版 (1.7.2) にバージョンアップします。このバージョンは、
    下記で公開されています。

         ftp://ftp.isc.org/isc/inn/inn-1.7.2.tar.gz
         ftp://ftp.riken.go.jp/pub/net/news/inn/inn-1.7.2.tar.gz

    また、lNNの最新版に関する情報は、以下の Web サーバ上にある INN の
    ページで公開されています。

        http://www.isc.org/

    また INN を更新する場合は、単にプログラムを入れ替えるだけでなく、
    各種スクリプトファイルや設定ファイル等も、そのバージョンで提供され
    ているものに更新されることを推奨します。

  (2) シャドーパスワードの利用

    OS がシャドーパスワードの機能を提供しているならば、それを使用しま
    す。

  (3) 全ユーザのパスワード変更

    登録している全ユーザのパスワードを変更します。その際には、容易に類
    推されないようなパスワードを設定する必要があります。

  (4) システムの再構築

    入手したパスワードを用いて、TELNET や FTP などでホストに侵入されて
    いる可能性もあります。特にシステム管理者のパスワードが破られると、
    ログを改ざんされたり、トロイの木馬をシステム内部に仕掛けられている
    場合もあります。そこで、外部からのアクセスログを確認し、ホストへの
    不正侵入の可能性が否定できない場合には、システムの再構築を行う必要
    があります。


V. 参考情報

  1997年3月18日に CERT より今回の INN への攻撃に関する CERT(sm)
Summary CS-97.02 SPECIAL EDITION が発行されました。

    http://www.cert.org/summaries/CS-97.02.html

  INN のセキュリティホールについては CERT(sm) Advisory CA-97.08 に詳細
な情報があります。

    http://www.cert.org/advisories/CA-97.08.

  最近のインターネットの不正アクセスに対する一般的な傾向は最新の
CERT(sm) Summary に参考となる情報があります。

    http://www.cert.org/summaries/CS-97.01.html

__________

＜JPCERT/CC からのお知らせとお願い＞

  今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな
不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供く
ださいますようお願いします。JPCERT/CC の所定の様式

    http://www.jpcert.or.jp/form.txt

にご記載のうえ、関連するログファイルのメッセージとともに、

    info@jpcert.or.jp

までお送りください。

  JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示
することはありません。JPCERT/CC の組織概要につきましては、

    http://www.jpcert.or.jp/

をご参照ください。

__________

注： JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的と
したものではありません。個別の問題に関するお問い合わせ等に対して必ずお
答えできるとは限らないことをあらかじめご了承ください。また、本件に関す
るものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるた
め、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おき
ください。

注： この文書は、不正アクセスに対する一般的な情報提供を目的とするもの
であり、特定の個人や組織に対する、個別のコンサルティングを目的としたも
のではありません。また JPCERT/CC は、この文書に記載された情報の内容が
正確であることに努めておりますが、正確性を含め一切の品質についてこれを
保証するものではありません。この文書に記載された情報に基づいて、貴方あ
るいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起
こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。

__________

1997,1998 (c) JPCERT/CC

  この文書を転載する際には、全文を転載してください。また、転載は2000年
8月31日以降は行なわないようにしてください。なお、これは、この文書の内
容が2000年8月31日まで有効であることを保障するものではありません。情報
は随時更新されている可能性がありますので、最新情報については

        http://www.jpcert.or.jp/at/

を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原
典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。

  JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。

        http://www.jpcert.or.jp/jpcert.asc

__________

更新履歴

2000/08/25  参照 URL の更新
1998/02/10  inn のバージョンを inn-1.7.2 に修正
1997/07/02  "security-patch.05" に関する記述を追加
1997/03/19  CERT(sm) Summary CS-97.02 に関する記述を追加
            JPCERT/CC の PGP 公開鍵の URL を追加
1997/03/18  First Version.

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia

iQCVAwUBOaYifYx1ay4slNTtAQH+OQQAmVr05dzQyFumm5tsgAio0poimrSyJvzI
+ZbddOxnpnNQy8GxVAyAX294iOIVlFy6KhHeY2VpFPBGyrgvvj736OC/ggtmM6vW
X/DIVAxp3dJBrVNTm8XOY5gbIKslEFFVDs+BZ4CJ/8o2s1yGTjwGvvOfXZ1jNg+V
S18SeostFao=
=p0hy
-----END PGP SIGNATURE-----