JPCERT コーディネーションセンター

automountdサーバプログラムを悪用したアタック(Version 2)

======================================================================
JPCERT-E-INF-99-0002-02
JPCERT/CC

緊急報告 - automountd サーバプログラムを悪用したアタック

初 版: 1999/04/26 (Ver.01)発 効 日: 1999/04/27 (Ver.02)有効期限: 1999/05/06最新情報: http://www.jpcert.or.jp/info/99-0002/======================================================================

I. 状況説明

Solaris 2.X (2.5.1 以前) に含まれている automountd プログラムのいくつかの実装には、セキュリティ上の弱点が含まれています。JPCERT/CC は、statd を経由して、この automountd プログラムの弱点を悪用しようとする不正アクセスについていくつかの報告を受け取っています。

この攻撃は statd を経由しますが、以前に報告した statd の弱点を利用する攻撃とは異なりますのでご注意下さい (参考情報 [1]) 。

セキュリティ上の弱点を含む automountd がインストールされており、statd および automountd が共にサービスを受け付ける設定になっている場合に、リモートから管理者 (root) 権限で任意のコマンドを実行される可能性があります。この弱点が悪用されると、ホストのパスワードファイル等のセキュリティ上重要なファイルを任意に改ざんされたり、その他さまざまな不正アクセスを管理者権限で実行される可能性があります。

JPCERT/CC は、セキュリティ上の弱点を含む automountd プログラムを直ちにバージョンアップする、あるいはサービスを停止することを推奨します。

この弱点の悪用に関して JPCERT/CC では、 Solaris 2.X に関連する報告を受け取っています。他のシステムでも同様の実装がある場合には、影響を受ける可能性があると思われます。もし他のシステムに関連する情報を受け取った場合には、この文書を更新する可能性がありますのでご注意下さい。


II. 想定される影響

直接の影響としては、

・攻撃者にリモートから管理者 (root) 権限を不正に入手される

可能性があります。その際に、

・任意のコマンドを管理者権限で実行される

可能性があります。また、それらを利用して、ホストのパスワードファイル等セキュリティ上重要なファイルの改ざん、裏口の設置など、さまざまな不正アクセスを管理者権限で実行される可能性があります。さらに侵入されたまま放置しておくと、踏み台となって他のサイトに大きな迷惑を与える可能性もあります。


III. automountd プログラムを悪用した攻撃の見分け方

システムのログファイル中に、automountd もしくは statd プロセスが出力した不審なメッセージが記録されているか確認します。多くの場合、ログファイルの場所は /etc/syslog.conf に記述されています。

特に、次の (1) もしくは (2) のような行があった場合には、automountdを悪用する攻撃が試みられている可能性があります。

(1)Mar 13 00:21:34 YOUR.HOST.NAME statd[130]: statd: open of /var/statmon/sm/; ...

(2)Mar 13 03:34:52 YOUR.HOST.NAME statd[783]: attempt to create "/var/statmon/sm/; ..."

... の部分は状況により異なりますのでご注意下さい。また、参考情報 [1]で述べた攻撃も、類似のログを出力する可能性がありますのでご注意下さい。

セキュリティ上の弱点を含むバージョンの automountd プログラムが動作していた場合、automountd プログラムを悪用したシステムへの攻撃がすでに行われている可能性があります。

攻撃が成功した場合には、管理者権限でさまざまなコマンドを実行される可能性があるため、一般ユーザ権限では変更できないはずのシステムログが改ざんを受ける可能性もあります。万が一、システムログが改ざんされてしまうと上述の方法で不正アクセスの可能性を検出することはできません。そのため、たとえシステムログに異常がなくても、不正アクセスを受けている可能性が否定できない場合には、次の URL に示す文書を参考にして、不正アクセス検出のため調査を行なうことを推奨します。

ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/intruder_detection_checklist


IV. 対策

Solaris 2.X では、標準的な設定で automountd プログラムがインストールされている場合もあるため automountd サービスを利用していなくても、すでにインストールされ利用できる状態になっていないかどうか、念のため確認することを推奨します。

セキュリティ上の弱点を含む automountd プログラムがシステムにインストールされている場合には、早急に次の (1)(2) いずれかの対策をとることを強く推奨します。

また、すでに攻撃を受け、管理者 (root) 権限を悪用された可能性が否定できない場合には、上記の対策に加え、再発防止のため (3)(4) の対策をとることを推奨します。

なお、(1)(2) については、今回不正アクセスを受けていない場合でも、予防対策として実施することを推奨します。

(1) automountd プログラムのバージョンアップ

セキュリティ上の弱点を含むバージョンの automountd プログラムを利用
しており、サービスを停止することができない場合には、直ちに最新版に
バージョンアップすることを強く推奨します。

Solaris 2.X に関するセキュリティ上の弱点を含む automountd プログラ
ムのインプリメンテーション、バージョンおよびバージョンアップに必要
な情報の所在については、参考情報 [2] をご参照ください。

また statd プログラムにも、異なるセキュリティ上の弱点が過去に報告
されています。詳しくは、参考情報 [1] をご参照ください。

(2) automountd によるサービスの停止

もし autofs による自動 mount/umount の必要性がなければ直ちに
automountd によるサービスを停止することを強く推奨します。

Solaris 2.X の標準的な設定では、automountd は /etc/rc2.d/S74autofs
(Solaris 2.3 では /etc/rc2.d/S73autofs) のスクリプトファイルから起
動されます。automountd を停止するには、該当するスクリプトファイル
の名前を、先頭が大文字 S 以外の文字で始まるものに変更します。

# cd /etc/rc2.d
# mv S74autofs _S74autofs

(Solaris 2.3 では S73autofs)

さらに動作中の automountd プロセスを停止するために
/etc/init.d/autofs スクリプトを利用します。

# /etc/init.d/autofs stop

(3) 全ユーザのパスワード変更と不要なアカウントの削除

この不正アクセスが成功した場合には、当該ホストに登録されているユー
ザのアカウント名とパスワードが流出したり、不正なアカウントが登録さ
れている可能性があります。そこで、登録している全ユーザのパスワード
を変更します。パスワードを設定する際には、容易に類推されないような
パスワード文字列を選択します。また不要・不審なアカウントが登録され
ている場合には、それらのアカウントを削除します。

(4) システムの再構築

管理者権限が悪用されると、セキュリティ上重要なファイルを改ざんされ
たり、裏口やトロイの木馬などをシステム内部に仕掛けられたりする可能
性があります。外部からのアクセスログ等を確認し、ホストへの不正侵入
の可能性が否定できない場合には、システムの再構築を行なう必要があり
ます。


V. 参考情報

[1] statd サーバプログラムを悪用したアタック

http://www.jpcert.or.jp/info/98-0001/

[2] SunSolve 提供のパッチ情報

automountd のバグは 4095455 とナンバリングされ、それに対する次のパッチが提供されています。このバグは Solaris 2.6 以降では修正済です。

104654-05 Solaris 2.5.1
104655-04 Solaris 2.5.1 x86
103187-42 Solaris 2.5
103188-42 Solaris 2.5 x86
101945-61 Solaris 2.4
101946-54 Solaris 2.4 x86
101318-92 Solaris 2.3

これらのパッチは次の URL から取得可能です。

http://sunsolve.sun.co.jp/sunsolve/jp/
ftp://sunsolve1.sun.com/pub/patches/


======================================================================本文書の作成にあたり、有益な情報を提供して頂いたサン・マイクロシステムズ株式会社殿に感謝致します。
JPCERT/CC スタッフ一同======================================================================


<JPCERT/CC からのお知らせとお願い>

今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供くださいますようお願いします。JPCERT/CC の所定の報告様式は次の URL にございます。

http://www.jpcert.or.jp/contact.html

報告様式にご記載のうえ、関連するログファイルのメッセージとともに、

info@jpcert.or.jp

までお送りください。

JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示することはありません。JPCERT/CC の組織概要につきましては、

http://www.jpcert.or.jp/

をご参照ください。

_________

注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。

注: この文書は、不正アクセスに対する一般的な情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティングを目的としたものではありません。また JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。

_________

1999 (C) JPCERT/CC

この文書を転載する際には、全文を転載してください。また、転載は1999年5月6日以降は行なわないようにしてください。なお、これは、この文書の内容が1999年5月6日まで有効であることを保障するものではありません。情報は随時更新されている可能性がありますので、最新情報については

http://www.jpcert.or.jp/info/99-0002/

を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。

JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。

ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key

_________

更新履歴

1999/04/27 「参考情報」の章番号の間違いを修正1999/04/26 First Version.
Topへ
最新情報(RSSメーリングリストTwitter