-----BEGIN PGP SIGNED MESSAGE----- ====================================================================== JPCERT-AT-2002-0006 JPCERT/CC 緊急報告 - OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム 初 版: 2002-09-17 (Ver.01) 発 行 日: 2002-09-20 (Ver.02) 最新情報: http://www.jpcert.or.jp/at/2002/at020006.txt ====================================================================== JPCERT/CC では、Apache/mod_ssl ワームに関するインシデント報告をいた だいています。このワームに感染したホストは、他のシステムに対する分散型 サービス運用妨害 (DDoS) 攻撃の踏み台として使用される可能性があります。 本文書ではこのワームに感染したかどうか、もしくは攻撃されたかどうかの 確認方法とワームに対する対処方法を説明します。このワームには亜種が存在 する可能性があるので、確認方法や対処方法としては、この文書に記述された 内容だけでは充分ではない可能性もあることをあらかじめご了承ください。 I. Apache/mod_ssl ワームとは? Apache/mod_ssl ワームは、2002年7月末に報告された OpenSSL の脆弱性を 使い、Apache Web サーバと mod_ssl を介して伝播するワームです。また、 linux.slapper.worm や bugtraq.c worm と呼ばれることもあります。 対象となるのは、Intel x86 アーキテクチャの Linux システムで稼働して いる Apache Web サーバのうち、OpenSSL 0.9.6d またはそれ以前を使ってい る mod_ssl が有効になっているものです。また、OpenSSL 0.9.7-beta2 およ びそれ以前のβバージョンを使用している場合も同様の危険性があります。 このワームが使用する OpenSSL の脆弱性の詳細については下記の URL を参 照してください。 CERT Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL http://www.cert.org/advisories/CA-2002-23.html OpenSSL Security Advisory [30 July 2002] http://www.openssl.org/news/secadv_20020730.txt JPCERT/CC REPORT 2002-08-07号 http://www.jpcert.or.jp/wr/2002/wr023001.txt JPCERT/CC REPORT 2002-08-14号 http://www.jpcert.or.jp/wr/2002/wr023101.txt このワームは、まず増殖先を探すために他のホストの 80/tcp にアクセスし ます。そして Apache Web サーバを検知すると、OpenSSL の脆弱性を使って侵 入するためのコードを攻撃対象の 443/tcp へ送信します。 ワームに感染したホストは、2002/udp を用いて攻撃元と通信を行なうこと で、他のシステムに対する分散型サービス運用妨害 (DDoS) 攻撃の踏み台とし て使用される可能性があります。また、2002/udp を用いた通信自体がネット ワークの輻輳や計算機資源の浪費につながる場合があります。 このワームに関しては以下の URL で示されるページもご覧ください。 CERT Advisory CA-2002-27 Apache/mod_ssl Worm http://www.cert.org/advisories/CA-2002-27.html CIAC Bulletin M-125 Apache/mod_ssl Worm http://www.ciac.org/ciac/bulletins/m-125.shtml AUSCERT ALERT AL-2002.11 Apache/mod_ssl Worm http://www.auscert.org.au/Information/Advisories/advisory/AL-2002.11.txt Internet Security Systems セキュリティ アラート OpenSSL/Apache ワーム「Slapper」の蔓延 http://www.isskk.co.jp/support/techinfo/general/SlapperApacheWorm_xforce.html II. 確認方法 Apache/mod_ssl ワームに感染しているかどうかについては、次のような方 法で確認することができます。 (1) 痕跡 以下のファイルの存在を確認します。ファイル名の先頭に . (ピリオド) が 付いていることに注意してください。 /tmp/.uubugtraq /tmp/.bugtraq.c /tmp/.bugtraq これらのファイルが存在している場合は、ほぼ確実にワームに感染していると 考えてよいでしょう。 ※ Apache/mod_ssl ワームは感染すると、/tmp/.uubugtraq というファイル を作成します。次にこれを uudecode して /tmp/.bugtraq.c という C 言語のプログラムファイルを抽出します。そしてそのプログラムファイ ルを gcc でコンパイルすることで、自己増殖などに用いるプログラム /tmp/.bugtraq を作成し、そのプログラムを実行します。 (2) 通信状態 netstat -an コマンドを実行して通信状態を確認します。またルータのログ などから対象となるホストと外部との通信履歴を確認します。2002/udp を使っ た通信が行なわれている場合はワームに感染した可能性が極めて高いと判断で きます。 ※ Apache/mod_ssl ワームについては、上記 (1) と (2) で紹介した感染の 形跡を隠蔽する亜種が存在する可能性が指摘されています。したがって 感染の対象となる可能性のあるホストにおいては、上記の方法だけでな く、以下の文書などを参考にして、何らかの改竄が行なわれていないか どうかを確認することを強くお勧めします。 @IT 連載: 管理者のためのセキュリティ推進室 第3回 インシデントを発見する方法 (2) http://www.atmarkit.co.jp/fsecurity/rensai/inci03/inci01.html III. 対処方法 Apache/mod_ssl ワームに感染したことが確認された場合は、まずそのホス トをネットワークから切り離すことをご検討ください。これによりワームの増 殖を防ぐことができます。 Apache/mod_ssl ワームに感染したホストでは、攻撃者が Web サーバの実行 権限 (一般的には nobody もしくは www、apache など) を取得している可能 性があります。また、その上で更に別の脆弱性を使って root 権限を取得して いる可能性もあります。そのため、ワームによるプロセス .bugtraq を停止し て、侵入の痕跡である /tmp/.bugtraq などのファイルを削除するだけでは、 完全には復旧しない場合があります。したがって、システムを復旧するには、 まず必要なファイルのバックアップを取り、ハードディスクをフォーマットし た上で、OS を再インストールすることをお勧めします。その上で、OpenSSL をバージョン 0.9.6g もしくはそれ以降に更新する、または各ベンダや配布元 が提供するパッチを適用するなどの再発防止策を講じてください。 なお、システムの改竄が行われたと考えられるホストからのデータの移行や、 そのホストの OS の再インストールの際にバックアップテープ等を使用される 場合は、バックアップされた情報自体に、ワームなどによって置き換えられた ファイルやインストールされたプログラム等が記録されていないか、充分にご 注意ください。 各ベンダや配布元の対応状況、また OpenSSL の更新方法の詳細については 下記の URL を参照してください。 Vine Linux errata openssl にセキュリティホール http://vinelinux.org/errata/25x/20020731.html http://vinelinux.org/errata/2x/20020731.html Turbolinux Japan Security Center OpenSSL/Apache ワーム「Slapper」について http://www.turbolinux.co.jp/security/openssl-slapper.html Turbolinux Japan Security Center OpenSSL 0.9.6e バグフィックス http://www.turbolinux.co.jp/security/openssl-0.9.6g-2.html Debian Security Advisory DSA-136-1 openssl -- リモートからの複数種類の攻撃 http://www.debian.org/security/2002/dsa-136 ※文書番号は更新されていませんが情報が追加されています。 Red Hat Linux セキュリティアドバイス RHSA-2002:155-11 opensslパッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-155J.html Red Hat Linux セキュリティアドバイス RHSA-2002:160-21 opensslパッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-160J.html HP社セキュリティ報告: #055 opensslにおけるセキュリティ脆弱性 http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBTL0207-055.html HP社セキュリティ報告: #056 OpenSSLおよびlibmmにおける複数の脆弱性 http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBTL0208-056.html 今後も更に OpenSSL の同じ脆弱性を使った、Linux 以外のホストにも感染 するワームが作られる可能性は高いと考えられます。OpenSSL を使用している 場合は、Linux に限らず、至急抜本的な対策を施すことを強くお勧めします。 IV. 参考 現在、実用的に使われているソフトウェアは、どれも複雑で大規模なものに なっているため、未知のセキュリティホールが含まれる可能性はどのシステム であっても否定できません。また、対策が明らかになっている既知のセキュリ ティホールであっても、対策が広く実施されていない間はやはり脅威となりま す。このような状況では、 ・常にセキュリティ関連の情報収集を行なう。 ・セキュリティホールが利用されるまえに、パッチの適用やバージョンアップ を行なう。 ・本当に必要なネットワークサービスだけを運用し、必要がないネットワーク サービスは停止する。 などの対応を推奨いたします。 各サイトにおかれましては、緊急時の連絡体制につき再確認いただくと共に、 いま一度、セキュリティ対策の実施状況の確認をお勧めします。また、不審な アクセスの監視を継続することをお勧めします。 対応一般につきましては以下の資料もご覧ください。 コンピュータセキュリティインシデントへの対応 http://www.jpcert.or.jp/ed/2002/ed020002.txt 関係サイトとの情報交換 http://www.jpcert.or.jp/ed/2002/ed020001.txt 以上。 ________ 更新履歴 2002-09-20 「I. Apache/mod_ssl ワームとは?」の情報の追加 「II. 確認方法」の修正と情報の追加 表現の修正 2002-09-17 初版 -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPYq/8Yx1ay4slNTtAQGSMQQApid2cmKOV/vlI+Uhv6PNRF5nQpUJRX+U OPlmAXa5ASifzPIf/XgwCoLkFtIriLgD53svieQ/DisJVySArITaINm8Up5fq/hl zewMI+zGnmUafYrqE1Z2y3wKednwULyVSYiXkIRFD3iJQ8TRbPU7C/4iIuOQGh8z 9xDeLf3wHts= =XLdB -----END PGP SIGNATURE-----