JPCERT コーディネーションセンター

ネットワークニュースのサービスを悪用したアタック(Version 4)

======================================================================
JPCERT-E-INF-97-0002-04
JPCERT/CC

緊急報告 - ネットワークニュースのサービスを悪用したアタック -

初 版: 1997/03/18 (Ver.01)発 行 日: 1998/02/10 (Ver.04)有効期限: 1998/02/17最新情報: http://www.jpcert.or.jp/info/97-0002/======================================================================

INN の新しいリリース版が発表されました。詳細につきましては「IV. 対策」を参照ください。

I. 状況説明

JPCERT/CC は、ネットニュースの代表的なサーバプログラムである INN(InterNetNews) のセキュリティホールを悪用しようとするコントロールメッセージが、海外のサイトから流されているという報告を受けました。

INN がこのコントロールメッセージを受信すると、ホストのパスワードファイル等のセキュリティ上重要なファイルや情報を特定のメールアドレスに送信するような不正なコマンドを実行しようとします。

また、コントロールメッセージがニュースサーバを運用しているホストに配送されると、それらホストがインターネットに直接接続されているか、あるいは間接的に接続されているかを問わず、そのホストの情報が不正に盗まれる可能性があります。JPCERT/CC は、直ちに INN をバージョンアップすることを推奨します。


II. 想定される影響

直接の影響としては、

・不正なコマンドの実行

と、それによる

・パスワードファイル等のセキュリティ上重要なファイルや情報の盗難

が主です。また、それらを利用してシステムに侵入されてしまうと、ルートのパスワードを見破られる等々さまざまな影響が考えられます。さらに侵入されたまま放置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあります。


III. INN のセキュリティホールを悪用したアタックの見分け方

INN のコントロールメッセージのログファイル、もしくはニュース管理者に届いたメール中に /etc/passwd という文字列が含まれている場合は、不正なコントロールメッセージによってパスワードファイルが流出している可能性があります。

また、INN が稼働しているホスト上で、オーナが news である telnet プロセスあるいはその他の不審なプロセスが動作している場合、それらは不正なコントロールメッセージによって起動された可能性があります。確認の上、直ちにそれらの不審なプロセスを停止することを推奨します。

また、Sendmail のログファイル中に from=news で始まる、心当りのないアドレスへのメール送信記録がないか調査することを推奨します。もしそのような記録があった場合は、セキュリティ上重要な情報 (パスワードファイル等)が流出している可能性があります。

なお、これらのログが見当たらない場合でも、今後、不正なコントロールメッセージが送られてくる可能性もあるため、IV 章の対策を講じられることを強く推奨します。

IV. 対策

不正アクセスが成功した場合には、当該コンピュータに登録されている利用者のパスワードが流出している可能性があります。その場合には、再発防止のため、少なくとも次のような対策をとられることを推奨します。

(1) INN をバージョンアップする
(2) シャドーパスワードを利用する
(3) 全ユーザのパスワードを変更する
(4) システムを再構築する

なお、(1)(2) については、今回不正アクセスを受けていない場合でも、予防対策として実行しておかれることを推奨します。

(1) INN のバージョンアップ

INN を最新の版 (1.7.2) にバージョンアップします。このバージョンは、
下記で公開されています。

ftp://ftp.isc.org/isc/inn/inn-1.7.2.tar.gz
ftp://ftp.riken.go.jp/pub/net/news/inn/inn-1.7.2.tar.gz

また、lNNの最新版に関する情報は、以下の Web サーバ上にある INN の
ページで公開されています。

http://www.isc.org/

また INN を更新する場合は、単にプログラムを入れ替えるだけでなく、
各種スクリプトファイルや設定ファイル等も、そのバージョンで提供され
ているものに更新されることを推奨します。

(2) シャドーパスワードの利用

OS がシャドーパスワードの機能を提供しているならば、それを使用しま
す。

(3) 全ユーザのパスワード変更

登録している全ユーザのパスワードを変更します。その際には、容易に類
推されないようなパスワードを設定する必要があります。

(4) システムの再構築

入手したパスワードを用いて、TELNET や FTP などでホストに侵入されて
いる可能性もあります。特にシステム管理者のパスワードが破られると、
ログを改ざんされたり、トロイの木馬をシステム内部に仕掛けられている
場合もあります。そこで、外部からのアクセスログを確認し、ホストへの
不正侵入の可能性が否定できない場合には、システムの再構築を行う必要
があります。


V. 参考情報

1997年3月18日に CERT より今回の INN への攻撃に関する CERT(sm)Summary CS-97.02 SPECIAL EDITION が発行されました。

ftp://info.cert.org/pub/cert_summaries/CS-97.02

INN のセキュリティホールについては CERT(sm) Advisory CA-97.08 に詳細な情報があります。

ftp://info.cert.org/pub/cert_advisories/CA-97.08.innd

最近のインターネットの不正アクセスに対する一般的な傾向は最新のCERT(sm) Summary に参考となる情報があります。

ftp://info.cert.org/pub/cert_summaries/CS-97.01

上記の情報は、それぞれ次の場所にミラーがあります。

ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/CA-97.08.innd
ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.01
ftp://ftp.jpcert.or.jp/pub/cert/cert_summaries/CS-97.02

__________

<JPCERT/CC からのお知らせとお願い>

今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供くださいますようお願いします。JPCERT/CC の所定の様式

http://www.jpcert.or.jp/form.html

にご記載のうえ、関連するログファイルのメッセージとともに、

info@jpcert.or.jp

までお送りください。

JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示することはありません。JPCERT/CC の組織概要につきましては、

http://www.jpcert.or.jp/

をご参照ください。

__________

注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。

注: この文書は、不正アクセスに対する一般的な情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティングを目的としたものではありません。また JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。

__________

1997,1998 (c) JPCERT/CC

この文書を転載する際には、全文を転載してください。また、転載は1998年2月17日以降は行なわないようにしてください。なお、これは、この文書の内容が1998年2月17日まで有効であることを保障するものではありません。情報は随時更新されている可能性がありますので、最新情報については

http://www.jpcert.or.jp/info/97-0002/

を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。

JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。

ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key

__________

更新履歴

1998/02/10 inn のバージョンを inn-1.7.2 に修正1997/07/02 "security-patch.05" に関する記述を追加1997/03/19 CERT(sm) Summary CS-97.02 に関する記述を追加
JPCERT/CC の PGP 公開鍵の URL を追加1997/03/18 First Version.
Topへ
最新情報(RSSメーリングリストTwitter