======================================================================
JPCERT-AT-2002-0006
JPCERT/CC
初 版: 2002-09-17 (Ver.01)発 行 日: 2002-09-20 (Ver.02)最新情報: http://www.jpcert.or.jp/at/2002/at020006.txt======================================================================
JPCERT/CC では、Apache/mod_ssl ワームに関するインシデント報告をいただいています。このワームに感染したホストは、他のシステムに対する分散型サービス運用妨害 (DDoS) 攻撃の踏み台として使用される可能性があります。
本文書ではこのワームに感染したかどうか、もしくは攻撃されたかどうかの確認方法とワームに対する対処方法を説明します。このワームには亜種が存在する可能性があるので、確認方法や対処方法としては、この文書に記述された内容だけでは充分ではない可能性もあることをあらかじめご了承ください。
I. Apache/mod_ssl ワームとは?
Apache/mod_ssl ワームは、2002年7月末に報告された OpenSSL の脆弱性を使い、Apache Web サーバと mod_ssl を介して伝播するワームです。また、linux.slapper.worm や bugtraq.c worm と呼ばれることもあります。
対象となるのは、Intel x86 アーキテクチャの Linux システムで稼働している Apache Web サーバのうち、OpenSSL 0.9.6d またはそれ以前を使っている mod_ssl が有効になっているものです。また、OpenSSL 0.9.7-beta2 およびそれ以前のβバージョンを使用している場合も同様の危険性があります。
このワームが使用する OpenSSL の脆弱性の詳細については下記の URL を参照してください。
CERT Advisory CA-2002-23
Multiple Vulnerabilities In OpenSSL
http://www.cert.org/advisories/CA-2002-23.html
OpenSSL Security Advisory [30 July 2002]
http://www.openssl.org/news/secadv_20020730.txt
JPCERT/CC REPORT 2002-08-07号
http://www.jpcert.or.jp/wr/2002/wr023001.txt
JPCERT/CC REPORT 2002-08-14号
http://www.jpcert.or.jp/wr/2002/wr023101.txt
このワームは、まず増殖先を探すために他のホストの 80/tcp にアクセスします。そして Apache Web サーバを検知すると、OpenSSL の脆弱性を使って侵入するためのコードを攻撃対象の 443/tcp へ送信します。
ワームに感染したホストは、2002/udp を用いて攻撃元と通信を行なうことで、他のシステムに対する分散型サービス運用妨害 (DDoS) 攻撃の踏み台として使用される可能性があります。また、2002/udp を用いた通信自体がネットワークの輻輳や計算機資源の浪費につながる場合があります。
このワームに関しては以下の URL で示されるページもご覧ください。
CERT Advisory CA-2002-27
Apache/mod_ssl Worm
http://www.cert.org/advisories/CA-2002-27.html
CIAC Bulletin M-125
Apache/mod_ssl Worm
http://www.ciac.org/ciac/bulletins/m-125.shtml
AUSCERT ALERT AL-2002.11
Apache/mod_ssl Worm
http://www.auscert.org.au/Information/Advisories/advisory/AL-2002.11.txt
Internet Security Systems セキュリティ アラート
OpenSSL/Apache ワーム「Slapper」の蔓延
http://www.isskk.co.jp/support/techinfo/general/SlapperApacheWorm_xforce.html
II. 確認方法
Apache/mod_ssl ワームに感染しているかどうかについては、次のような方法で確認することができます。
(1) 痕跡
以下のファイルの存在を確認します。ファイル名の先頭に . (ピリオド) が付いていることに注意してください。
/tmp/.uubugtraq
/tmp/.bugtraq.c
/tmp/.bugtraq
これらのファイルが存在している場合は、ほぼ確実にワームに感染していると考えてよいでしょう。
※ Apache/mod_ssl ワームは感染すると、/tmp/.uubugtraq というファイル
を作成します。次にこれを uudecode して /tmp/.bugtraq.c という C
言語のプログラムファイルを抽出します。そしてそのプログラムファイ
ルを gcc でコンパイルすることで、自己増殖などに用いるプログラム
/tmp/.bugtraq を作成し、そのプログラムを実行します。
(2) 通信状態
netstat -an コマンドを実行して通信状態を確認します。またルータのログなどから対象となるホストと外部との通信履歴を確認します。2002/udp を使った通信が行なわれている場合はワームに感染した可能性が極めて高いと判断できます。
※ Apache/mod_ssl ワームについては、上記 (1) と (2) で紹介した感染の
形跡を隠蔽する亜種が存在する可能性が指摘されています。したがって
感染の対象となる可能性のあるホストにおいては、上記の方法だけでな
く、以下の文書などを参考にして、何らかの改竄が行なわれていないか
どうかを確認することを強くお勧めします。
@IT 連載: 管理者のためのセキュリティ推進室
第3回 インシデントを発見する方法 (2)
http://www.atmarkit.co.jp/fsecurity/rensai/inci03/inci01.html
III. 対処方法
Apache/mod_ssl ワームに感染したことが確認された場合は、まずそのホストをネットワークから切り離すことをご検討ください。これによりワームの増殖を防ぐことができます。
Apache/mod_ssl ワームに感染したホストでは、攻撃者が Web サーバの実行権限 (一般的には nobody もしくは www、apache など) を取得している可能性があります。また、その上で更に別の脆弱性を使って root 権限を取得している可能性もあります。そのため、ワームによるプロセス .bugtraq を停止して、侵入の痕跡である /tmp/.bugtraq などのファイルを削除するだけでは、完全には復旧しない場合があります。したがって、システムを復旧するには、まず必要なファイルのバックアップを取り、ハードディスクをフォーマットした上で、OS を再インストールすることをお勧めします。その上で、OpenSSL
をバージョン 0.9.6g もしくはそれ以降に更新する、または各ベンダや配布元が提供するパッチを適用するなどの再発防止策を講じてください。
なお、システムの改竄が行われたと考えられるホストからのデータの移行や、そのホストの OS の再インストールの際にバックアップテープ等を使用される場合は、バックアップされた情報自体に、ワームなどによって置き換えられたファイルやインストールされたプログラム等が記録されていないか、充分にご注意ください。
各ベンダや配布元の対応状況、また OpenSSL の更新方法の詳細については下記の URL を参照してください。
Vine Linux errata
openssl にセキュリティホール
http://vinelinux.org/errata/25x/20020731.html
http://vinelinux.org/errata/2x/20020731.html
Turbolinux Japan Security Center
OpenSSL/Apache ワーム「Slapper」について
http://www.turbolinux.co.jp/security/openssl-slapper.html
Turbolinux Japan Security Center
OpenSSL 0.9.6e バグフィックス
http://www.turbolinux.co.jp/security/openssl-0.9.6g-2.html
Debian Security Advisory DSA-136-1
openssl -- リモートからの複数種類の攻撃
http://www.debian.org/security/2002/dsa-136
※文書番号は更新されていませんが情報が追加されています。
Red Hat Linux セキュリティアドバイス RHSA-2002:155-11
opensslパッケージのアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-155J.html
Red Hat Linux セキュリティアドバイス RHSA-2002:160-21
opensslパッケージのアップデート
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-160J.html
HP社セキュリティ報告: #055
opensslにおけるセキュリティ脆弱性
http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBTL0207-055.html
HP社セキュリティ報告: #056
OpenSSLおよびlibmmにおける複数の脆弱性
http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBTL0208-056.html
今後も更に OpenSSL の同じ脆弱性を使った、Linux 以外のホストにも感染するワームが作られる可能性は高いと考えられます。OpenSSL を使用している場合は、Linux に限らず、至急抜本的な対策を施すことを強くお勧めします。
IV. 参考
現在、実用的に使われているソフトウェアは、どれも複雑で大規模なものになっているため、未知のセキュリティホールが含まれる可能性はどのシステムであっても否定できません。また、対策が明らかになっている既知のセキュリティホールであっても、対策が広く実施されていない間はやはり脅威となります。このような状況では、
・常にセキュリティ関連の情報収集を行なう。・セキュリティホールが利用されるまえに、パッチの適用やバージョンアップ
を行なう。・本当に必要なネットワークサービスだけを運用し、必要がないネットワーク
サービスは停止する。
などの対応を推奨いたします。
各サイトにおかれましては、緊急時の連絡体制につき再確認いただくと共に、いま一度、セキュリティ対策の実施状況の確認をお勧めします。また、不審なアクセスの監視を継続することをお勧めします。
対応一般につきましては以下の資料もご覧ください。
コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2002/ed020001.txt
以上。
________
更新履歴
2002-09-20 「I. Apache/mod_ssl ワームとは?」の情報の追加
「II. 確認方法」の修正と情報の追加
表現の修正2002-09-17 初版
前
コメント
共 有
