======================================================================
JPCERT-AT-2000-0006
JPCERT/CC
初 版: 1998/06/04 (Ver.01)発 行 日: 2000/08/25 (Ver.02)有効期限: 2000/08/31最新情報: http://www.jpcert.or.jp/at/2000/at000006.txt======================================================================
I. 状況説明
JPCERT/CC は、named プログラム (一部のシステムでは in.named という名前でインストールされています) の弱点を悪用しようとする不正アクセスについて、いくつかの報告を受け取りました。named は、ドメインネームシステム(DNS) を実装した代表的なソフトウェアである BIND に含まれており、DNS のネームサーバとして多くのサイトで利用されています。そのため、適切な対策をとらずに放置すれば、影響が広範囲に及ぶおそれもあります。
セキュリティ上の弱点を含む named プログラムがインストールされているシステムでは、リモートから管理者 (root) 権限で、任意のコマンドを実行されたり、任意のプログラムを送り込まれた上でそれらを実行されたりする可能性があります。この弱点が悪用されると、ホストのパスワードファイル等のセキュリティ上重要なファイルを改ざんされたり、その他さまざまな不正アクセスを管理者権限で実行される可能性もあります。
また、セキュリティ上の弱点を含む named プログラムがインストールされているシステムでは、リモートから named を停止させられる可能性があります。その結果として、さまざまなネットワークサービスの運用の妨げとなる可能性があります。
JPCERT/CC は、これらのセキュリティ上の弱点を含む named プログラムを直ちにバージョンアップすることを強く推奨します。
II. 想定される影響
直接の影響としては、
・攻撃者にリモートから管理者 (root) 権限を不正に入手される
可能性があります。その際に、
・不正なプログラムを送り込まれ、それを管理者権限で実行される
可能性があります。また、それらを利用して、ホストのパスワードファイル等セキュリティ上重要なファイルの改ざん、裏口の設置など、さまざまな不正アクセスを管理者権限で実行される可能性があります。さらに侵入されたまま放置しておくと、踏み台となって、他のサイトに大きな迷惑を与える可能性もあります。
他に、
・攻撃者にリモートから named を停止させられる
可能性もあります。この場合、多くのネットワークサービスの正常な運用が妨げられる可能性があります。
III. 対策
セキュリティ上の弱点を含む named プログラムがシステムにインストールされている場合には、早急に対策 (1) を実施されることを強く推奨します。
(1) named プログラムのバージョンアップ
(2) 全ユーザのパスワードの変更と不要なアカウントの削除
(3) システムの再構築
また、万が一、この不正アクセスが成功した場合には、システムのログが改ざんを受ける可能性があります。ログが改ざんされてしまうと、ログのチェックだけでは不正アクセスを検出することはできません。そのため、たとえシステムのログに異常がなくても、不正アクセスを受けている可能性が否定できない場合には、参考情報 IV. [1][2]、および、次の URL に示す文書等を参考にして、入念な調査を実施することが必要です。
http://www.cert.org/tech_tips/intruder_detection_checklist.html
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
すでに攻撃を受け、管理者 (root) 権限を悪用された可能性が否定できない場合には、上記の対策に加え、再発防止のため (2) (3) の対策をとられることを推奨します。
なお、対策 (1) については、今回不正アクセスを受けていない場合でも、予防対策として実施しておかれることを推奨します。
(1) named プログラムのバージョンアップ
セキュリティ上の弱点を含むバージョンの named プログラムを利用して
いる場合には、直ちにベンダが提供する修正版にバージョンアップするか、
または The Internet Software Consortium (http://www.isc.org/) が公
開している最新版の BIND に含まれる named をインストールすることを
強く推奨します。
セキュリティ上の弱点を含む named プログラムのインプリメンテーショ
ン、バージョン、およびバージョンアップに必要な情報の所在については、
参考情報 IV. [3] をご参照ください。
The Internet Software Consortium による BIND の最新版は下記で公開
されています。
[Internet Software Consortium - BIND]
http://www.isc.org/products/BIND/
BIND については、異なるセキュリティ上の弱点が過去にも報告されてい
ます。詳しくは、参考情報 IV. [4] をご参照ください。
注: named のバージョンアップの副作用として、古い版の BIND に基く
nslookup は利用できなくなる場合があります。この場合には、nslookup
のバージョンアップを合わせて実施されるか、同等な機能を有する他のソ
フトウェアを利用されることをお奨めします。
(2) 全ユーザのパスワード変更と不要なアカウントの削除
この不正アクセスが成功した場合には、不正なアカウントが登録されたり、
当該ホストに登録されているユーザのアカウント名が流出しパスワードが
破られた可能性があります。そこで、登録している全ユーザのパスワード
を変更します。パスワードを設定する際には、容易に類推されないような
パスワード文字列を選択します。また不要・不審なアカウントが登録され
ている場合には、それらのアカウントを削除します。
(3) システムの再構築
管理者権限が悪用されると、セキュリティ上重要なファイルを改ざんされ
たり、裏口やトロイの木馬などをシステム内部に仕掛けられたりする可能
性があります。そのため、ホストへの不正侵入の可能性が否定できない場
合には、システムの再構築が必要となります。
なお、再構築の際に、システムのバックアップ情報を利用される場合には、
そのバックアップ自体に既に不正なプログラムや情報等が記録されてしまっ
ていないか、十分にご注意頂くことをお奨めいたします。
IV. 参考情報
named プログラムのセキュリティ上の弱点を悪用しようとするアタックについては、次の参考資料もご参照ください。
[1] CS-98.04 - SPECIAL EDITION
http://www.cert.org/summaries/CS-98.04.html
[2] CS-98.05 - SPECIAL EDITION
http://www.cert.org/summaries/CS-98.05.html
[3] CA-98.05: Multiple Vulnerabilities in BIND
http://www.cert.org/advisories/CA-98.05.bind_problems.html
[4] CA-97.22: BIND - the Berkeley Internet Name Daemon
http://www.cert.org/advisories/CA-97.22.bind.html
________
<JPCERT/CC からのお知らせとお願い>
今回の不正アクセスも含め、インターネット上で引き起こされるさまざまな不正アクセスに関する情報がありましたら、info@jpcert.or.jp までご提供くださいますようお願いします。JPCERT/CC の所定の様式
http://www.jpcert.or.jp/form.txt
にご記載のうえ、関連するログファイルのメッセージとともに、
info@jpcert.or.jp
までお送りください。
JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示することはありません。JPCERT/CC の組織概要につきましては、
http://www.jpcert.or.jp/
をご参照ください。_________
注: JPCERT/CC の活動は、特定の個人や組織の利益を保障することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して必ずお答えできるとは限らないことをあらかじめご了承ください。また、本件に関するものも含め、JPCERT/CC へのお問い合わせ等が増加することが予想されるため、お答えできる場合でもご回答が遅れる可能性があることを何卒ご承知おきください。
注: この文書は、不正アクセスに対する一般的な情報提供を目的とするものであり、特定の個人や組織に対する、個別のコンサルティングを目的としたものではありません。また JPCERT/CC は、この文書に記載された情報の内容が正確であることに努めておりますが、正確性を含め一切の品質についてこれを保証するものではありません。この文書に記載された情報に基づいて、貴方あるいは貴組織がとられる行動 / あるいはとられなかった行動によって引き起こされる結果に対して、JPCERT/CC は何ら保障を与えるものではありません。_________
1998 (c) JPCERT/CC
この文書を転載する際には、全文を転載してください。また、転載は2000年8月31日以降は行なわないようにしてください。なお、これは、この文書の内容が2000年8月31日まで有効であることを保障するものではありません。情報は随時更新されている可能性がありますので、最新情報については
http://www.jpcert.or.jp/at/
を参照してください。やむを得ない理由で全文を転載できない場合は、必ず原典としてこの URL および JPCERT/CC の連絡先を記すようにしてください。
JPCERT/CC の PGP 公開鍵は以下の URL から入手できます。
http://www.jpcert.or.jp/jpcert.asc_________
更新履歴
2000/08/25 参照 URL の更新1998/06/04 First Version.
前
コメント
共 有
