各位
2001年初頭より Ramen, Lion, Adore と、Linux オペレーティングシステムに感染する新種のワームが広まりつつあります。すでに JPCERT/CC でも、これらのワームに関するインシデント報告を受け付けています。
これらのワームでは BIND, LPRng, rpc.statd, wu-ftpd のセキュリティ上の弱点を利用しています。感染力が強く、場合によっては影響範囲も大きいため、早急な対応を強くお勧めします。
すでに各 Linux ディストリビュータから本件に関するパッチまたは更新されたパッケージが出されています(この文書の終りにある URL をご参照下さい)。適切にこれらのパッチを適用、またはパッケージの更新を行うことを強くお勧めします。
これらのワームに関して CIAC (Computer Incident Advisory Capability)からレポートが出されています。詳細については以下の URL から Fiscal Year2001 のリンクをたどって、それぞれの文書を入手の上ご覧下さい。
http://www.ciac.org/cgi-bin/index/bulletins
L-040 "The Ramen Worm", CIAC INFORMATION BULLETIN
L-064 "The Lion Internet Worm DDOS Risk", CIAC INFORMATION BULLETIN
L-067 "Linux worm Adore", CIAC INFORMATION BULLETIN
ワームが利用する弱点についての詳細は以下の URL をご参照下さい。
CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND
http://www.cert.org/advisories/CA-2001-02.html
CERT Advisory CA-2000-22 Input Validation Problems in LPRng
http://www.cert.org/advisories/CA-2000-22.html
CERT Advisory CA-2000-17 Input Validation Problem in rpc.statd
http://www.cert.org/advisories/CA-2000-17.html
CERT Advisory CA-2000-13 Two Input Validation Problems In FTPD
http://www.cert.org/advisories/CA-2000-13.html
また SANS (System Administration, Networking, and Security) Instituteから、これらのワームを発見するツールが公開されています。詳細については以下の URL を参照してください。
Ramen http://www.sans.org/y2k/ramen.htm
Lion http://www.sans.org/y2k/lion.htm
Adore http://www.sans.org/y2k/adore.htm
ワームが発見された際の対応一般につきましては以下の資料もご覧ください。
コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2000/ed000007.txt
関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2000/ed000006.txt
A. 参考情報
以下に各ワームの概要について説明します。
- - Ramen Worm
Ramen ワームは RedHat Linux 6.2 と 7.0 を攻撃対象としたワームで、最新のパッチが適用されていない LPRng, rpc.statd, wu-ftpd を攻撃します。
特徴として、感染後にランダムに生成したクラス B ネットワークをスキャンして自分自身を感染させようとします。また、感染後にはポート 27374 でHTTP サービスを提供し、このポートを経由してワームが含まれたアーカイブファイルを提供します。また、感染したことを、電子メールで hotmail.comと yahoo.com のあるアカウントに通知します。このメールのサブジェクトは感染元となったホストの IP アドレスです。
感染ホストのウェブコンテンツである index.html を書き換え、Ramen Crewという文字列とともに Ramen の画像を表示するようにするため、この名前がつけられました。
- - Lion Worm
Lion ワームは複数の裏口と DDoS ツールである Tribe Flood Network(tfn2k) を仕込みます。感染するプラットホームはインテル x86 アークテクチャ上のLinux システムで 8.2.3-REL より前のバージョンの BIND を動かしているホストです。
このワームは多数のユーティリティコマンドを書き換えるため、システムの再インストールが必要となります。
ワームの特徴として、china.com に電子メールを出すことと、裏口として1008, 60008, 33567, 33568 の各ポートを利用することが報告されています。
- - Adore Worm
Adore ワームは Ramen および Lion から派生したワームで、動作原理は似たものです。BIND, LPRng, rpc.statd, wu-ftpd を同時に攻撃対象とします。
感染するプラットホームはインテル x86 アークテクチャ上の Linux システムで、上記各サービスに対して最新のパッチが適用されていないホストです。
このワームは、当初 Red Worm と呼ばれました、なぜなら RedHat Linux 7.0ではデフォルトで LPRng がインストールされるため、対策がとられていない多くの RedHat Linux ホストに感染することが予想されたからです。
このワームは感染すると一つの裏口を仕込みます。そしてシステム情報を特定の電子メールアドレスに送信します。
B. 最新パッチ、パッケージ
各ディストリビューションの最新パッチ、パッケージ情報については以下の URLを参照してください。
RedHat Linux 7.0
http://www.redhat.com/support/errata/rh7-errata-security.html
RedHat Linux 6.2
http://www.redhat.com/support/errata/rh62-errata-security.html
Debian GNU/Linux
http://www.debian.org/security/2001/
Mandrake Linux
http://www.linux-mandrake.com/en/security/
SuSE Linux
http://www.suse.com/us/support/security/index.html
Turbo Linux
http://www.turbolinux.co.jp/security/
Vine Linux
http://vinelinux.org/errata/2x/i386.html
Kondra MNU/Linux
http://www.kondara.org/
なお、今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡下さい。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
JPCERT-AT-2001-0004
JPCERT/CC
2001-04-18
JPCERT/CC Alert(Linux Worm) 2001-04-18
2001年初頭より Ramen, Lion, Adore と、Linux オペレーティングシステムに感染する新種のワームが広まりつつあります。すでに JPCERT/CC でも、これらのワームに関するインシデント報告を受け付けています。
これらのワームでは BIND, LPRng, rpc.statd, wu-ftpd のセキュリティ上の弱点を利用しています。感染力が強く、場合によっては影響範囲も大きいため、早急な対応を強くお勧めします。
すでに各 Linux ディストリビュータから本件に関するパッチまたは更新されたパッケージが出されています(この文書の終りにある URL をご参照下さい)。適切にこれらのパッチを適用、またはパッケージの更新を行うことを強くお勧めします。
これらのワームに関して CIAC (Computer Incident Advisory Capability)からレポートが出されています。詳細については以下の URL から Fiscal Year2001 のリンクをたどって、それぞれの文書を入手の上ご覧下さい。
http://www.ciac.org/cgi-bin/index/bulletins
L-040 "The Ramen Worm", CIAC INFORMATION BULLETIN
L-064 "The Lion Internet Worm DDOS Risk", CIAC INFORMATION BULLETIN
L-067 "Linux worm Adore", CIAC INFORMATION BULLETIN
ワームが利用する弱点についての詳細は以下の URL をご参照下さい。
CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND
http://www.cert.org/advisories/CA-2001-02.html
CERT Advisory CA-2000-22 Input Validation Problems in LPRng
http://www.cert.org/advisories/CA-2000-22.html
CERT Advisory CA-2000-17 Input Validation Problem in rpc.statd
http://www.cert.org/advisories/CA-2000-17.html
CERT Advisory CA-2000-13 Two Input Validation Problems In FTPD
http://www.cert.org/advisories/CA-2000-13.html
また SANS (System Administration, Networking, and Security) Instituteから、これらのワームを発見するツールが公開されています。詳細については以下の URL を参照してください。
Ramen http://www.sans.org/y2k/ramen.htm
Lion http://www.sans.org/y2k/lion.htm
Adore http://www.sans.org/y2k/adore.htm
ワームが発見された際の対応一般につきましては以下の資料もご覧ください。
コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2000/ed000007.txt
関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2000/ed000006.txt
A. 参考情報
以下に各ワームの概要について説明します。
- - Ramen Worm
Ramen ワームは RedHat Linux 6.2 と 7.0 を攻撃対象としたワームで、最新のパッチが適用されていない LPRng, rpc.statd, wu-ftpd を攻撃します。
特徴として、感染後にランダムに生成したクラス B ネットワークをスキャンして自分自身を感染させようとします。また、感染後にはポート 27374 でHTTP サービスを提供し、このポートを経由してワームが含まれたアーカイブファイルを提供します。また、感染したことを、電子メールで hotmail.comと yahoo.com のあるアカウントに通知します。このメールのサブジェクトは感染元となったホストの IP アドレスです。
感染ホストのウェブコンテンツである index.html を書き換え、Ramen Crewという文字列とともに Ramen の画像を表示するようにするため、この名前がつけられました。
- - Lion Worm
Lion ワームは複数の裏口と DDoS ツールである Tribe Flood Network(tfn2k) を仕込みます。感染するプラットホームはインテル x86 アークテクチャ上のLinux システムで 8.2.3-REL より前のバージョンの BIND を動かしているホストです。
このワームは多数のユーティリティコマンドを書き換えるため、システムの再インストールが必要となります。
ワームの特徴として、china.com に電子メールを出すことと、裏口として1008, 60008, 33567, 33568 の各ポートを利用することが報告されています。
- - Adore Worm
Adore ワームは Ramen および Lion から派生したワームで、動作原理は似たものです。BIND, LPRng, rpc.statd, wu-ftpd を同時に攻撃対象とします。
感染するプラットホームはインテル x86 アークテクチャ上の Linux システムで、上記各サービスに対して最新のパッチが適用されていないホストです。
このワームは、当初 Red Worm と呼ばれました、なぜなら RedHat Linux 7.0ではデフォルトで LPRng がインストールされるため、対策がとられていない多くの RedHat Linux ホストに感染することが予想されたからです。
このワームは感染すると一つの裏口を仕込みます。そしてシステム情報を特定の電子メールアドレスに送信します。
B. 最新パッチ、パッケージ
各ディストリビューションの最新パッチ、パッケージ情報については以下の URLを参照してください。
RedHat Linux 7.0
http://www.redhat.com/support/errata/rh7-errata-security.html
RedHat Linux 6.2
http://www.redhat.com/support/errata/rh62-errata-security.html
Debian GNU/Linux
http://www.debian.org/security/2001/
Mandrake Linux
http://www.linux-mandrake.com/en/security/
SuSE Linux
http://www.suse.com/us/support/security/index.html
Turbo Linux
http://www.turbolinux.co.jp/security/
Vine Linux
http://vinelinux.org/errata/2x/i386.html
Kondra MNU/Linux
http://www.kondara.org/
なお、今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡下さい。
==============================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
前
コメント
共 有
