CERT/CC

Advisories

Tech Tips

Incident Notes

Summaries


和訳版

最近版

全CERT勧告

Tech Tips

CERT Advisory 2001-11

  • この文書はCERT Advisory文書の和訳である。和訳については一切の 保証はしない。この文書を使った結果のあらゆる損害等について 訳者は一切責を負わない。また、当面、転載を禁じる。
  • この和訳は文書の性質上、in rushであり、訳の自然さより も訳出の迅速さを目指している。内容の正確さについては訳者としての 良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を 図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが 残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の 性質上、ネットワーク管理者等であるため、この読者層に通じやすい 訳語選定を心がけている。
  • この和訳はあくまでも訳者の個人的な関心に基づいて行われている。 今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること がある。
  • 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で CERTと契約を行って翻訳を行っているところがある。CERTに対する問い 合わせは現時点で回答がない。これは非難等ではもちろんない。 なお、本翻訳はその翻訳を 一切参照していない。特にその必要を感じないからでもあるが、本質的に 翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意 深い読者が比較検討して、読者の判断で何が正しいのかを判断できると 考えるためである。
  • この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を 受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容 についての責任は最初に書いたように負わない。
  • 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
  • 関連文書は ここにリストがある。

CERT® Advisory CA-2001-11 sadmind/IISワーム

Original release date: May 08, 2001

Last revised: May 10, 2001

Source: CERT/CC

本文書の原文は http://www.cert.org/advisories/CA-2001-11.htmlである。

本文書の完全な更新履歴は末尾にある。

影響のあるシステム

  • 修正パッチを適用していないMicrosfot IISを動作させているシステム
  • 修正パッチを適用していないSolaris 7並びにそれ以前のSolarisを動作させているシステム

概要

CERT/CCは新たな自己流布型の悪意あるコード(ここではsadmind/IISワーム と呼ぶ)の報告を受け取った。このワームはシステムを攻略しウェブページ を改竄するのに既知の2つの脆弱性を利用している。

I. 説明

予備的な分析に基づくことだが、sadmind/IISワームはSolarisシステム の脆弱性を悪用し、Microsoft IISウェブサーバを攻撃するための ソフトウェアをインストールする。さらにこのワームは他の脆弱な Solarisシステムに自身を自動的に流布するコンポーネントも内蔵している。 このワームはrootユーザのホームディレクトリの.rhostsファイルに "+ +"を追加する。また、2000台のIISシステムを攻略したのち Solarisシステムのホスト上のindex.htmlを改竄する。

Solarisシステムを攻略するのにこのワームはSolstice sadmindプログラムに 存在する2年前から既知のバッファオーバフローの脆弱性を悪用する。 この脆弱性について詳しくは次を参照されたい。

http://www.kb.cert.org/vuls/id/28934
http://www.cert.org/advisories/CA-1999-16.html(原文); その和訳

Solarisシステムをうまく攻略すると、このワームはIISシステムを攻略する ために7ヶ月前から既知の脆弱性を利用する。この脆弱性 について詳しくは次を参照されたい。

http://www.kb.cert.org/vuls/id/111677

このワームによって攻略されたSolarisシステムは以下のような特徴を示す。 

  • 攻略されたSolarisシステムのsyslog項目の例

May  7 02:40:01 carrier.example.com inetd[139]: /usr/sbin/sadmind: Bus Error - core dumped
May  7 02:40:01 carrier.example.com last message repeated 1 time
May  7 02:40:03 carrier.example.com last message repeated 1 time
May  7 02:40:06 carrier.example.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May  7 02:40:03 carrier.example.com last message repeated 1 time
May  7 02:40:06 carrier.example.com inetd[139]: /usr/sbin/sadmind: Segmentation Fault - core dumped
May  7 02:40:08 carrier.example.com inetd[139]: /usr/sbin/sadmind: Hangup
May  7 02:40:08 carrier.example.com last message repeated 1 time
May  7 02:44:14 carrier.example.com inetd[139]: /usr/sbin/sadmind: Killed
  • ルートシェルがポート600/tcpを待ち受けする

  • 次のディレクトリが存在する
    • /dev/cub には攻略されたマシンのログがある
    • /dev/cuc にはワームが操作並びに流布するのに使うツールがある

  • 次のような、このワームに関連したスクリプトのプロセスが起動している
    • /bin/sh /dev/cuc/sadmin.sh
    • /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 111
    • /dev/cuc/grabbb -t 3 -a .yyy.yyy -b .xxx.xxx 80
    • /bin/sh /dev/cuc/uniattack.sh
    • /bin/sh /dev/cuc/time.sh
    • /usr/sbin/inetd -s /tmp/.f
    • /bin/sleep 300

うまく攻略されたMicrosoft IISサーバは次のような特徴を示す

  • 次のようにウェブページが改竄される 
                                fuck USA Government
                               fuck PoizonBOx
                       contact:sysadmcn@yahoo.com.cn

  • 攻撃されたIISサーバのログ事例

2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 200 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir+..\ 200 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
           GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe 502 -
2001-05-06 12:20:19 10.10.10.10 - 10.20.20.20 80 \
           GET /scripts/root.exe /c+echo+<HTML code inserted here>.././index.asp 502 -

II. 影響

このワームに攻略されたSolarisシステムは、他のSolarisシステムやIISシステム を探し、攻略するために使われている。このワームに攻略されたIISシステムは ウェブコンテンツの改竄を受けることがある。

侵入者はこのワームが付け入った脆弱性を利用して、脆弱なSolaris システムにおいてroot権限で任意のコードを実行でき、脆弱なWindows システムにおいてもIUSR_machinenameアカウントに付与された権限 で任意のコマンドを実行できる。

我々は別の症例の報告も受け取りつつあり、その中には、攻略された Windowsマシン上でファイルが破壊され、起動不能になったという報告も 一件あった。これが今回のワームと直接関連するものかどうかは現時点 では不明である。

III. 解決策

ベンダが発行する修正パッチを適用せよ

Microsoftからは次で修正パッチが入手できる。

http://www.microsoft.com/technet/security/bulletin/MS00-078.asp

For IIS Version 4:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

For IIS Version 5:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

IISウェブサーバをセキュアにするための助言はさらに次でも得られる。

http://www.microsoft.com/technet/security/iis5chk.asp
http://www.microsoft.com/technet/security/tools.asp

Sun Security Bulletin #00191に記載されたSun Microsystems発行の修正パッチを適用せよ。

http://sunsolve.sun.com/pub-cgi/retrieve.pl? doctype=coll&doc=secbull/191&type=0&nav=sec.sba

Appendix A. ベンダ情報

Microsoft Corporation

この脆弱性については次の文書がMicrosoftから発行されている。

http://www.microsoft.com/technet/security/bulletin/MS00-078.asp

Sun Microsystems

Sunはこの脆弱性について次の速報を発行した。

http://sunsolve.sun.com/pub-cgi/retrieve.pl? doctype=coll&doc=secbull/191&type=0&nav=sec.sba

参照文献

  1. Vulnerability Note VU#111677: Microsoft IIS 4.0 / 5.0 vulnerable to directory traversal via extended unicode in url (MS00-078) http://www.kb.cert.org/vuls/id/111677
  2. CERT Advisory CA-1999-16 Buffer Overflow in Sun Solstice AdminSuite Daemon sadmind
    http://www.cert.org/advisories/CA-1999-16.html(原文); その和訳

著者:  Chad Dougherty, Shawn Hernan, Jeff Havrilla, Jeff Carpenter, Art Manion, Ian Finlay, John Shaffer

この文書の原文は以下で入手できる。
http://www.cert.org/advisories/CA-2001-11.html

CERT/CC Contact Information

Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends.

Using encryption

We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from

If you prefer to use DES, please call the CERT hotline for more information.

Getting security information

CERT publications and other security information are available from our web site

To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo@cert.org. Please include in the body of your message

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.
Conditions for use, disclaimers, and sponsorship information

Copyright 2001 Carnegie Mellon University.

更新履歴 

May 08, 2001: Initial Release
May 08, 2001: Formatting change to improve printing
May 08, 2001: Correct link in the vendor section to point to the correct Microsoft Bulletin.
              Our apologies to Microsoft for the error.
May 10, 2001: Changed sanitized logs to example.com
この和訳は橋本喜代太(hash@reasoning.org)が行った。 今年度の本プロジェクト開始より以前の文書であるため、遡及して和訳したものである。

本和訳の改訂履歴
2001年7月28日午後7時20分 (JST) 原文の2001年5/10訂正版の和訳を公開 2001年7月28日午後8時10分 (JST) CA-1999-16を和訳したため、そのリンクを追加。

訳者並びに連絡先: 橋本喜代太