reasoning.org presents

hash's Security Alert

hash's Security Note

reasoning.org presents
CERT文書
和訳版

最近版

全CERT勧告

インシデントメモ

Tech Tips

CERT/CC presents

Advisories

Tech Tips

Incident Notes

Summaries

CERT IN-2001-12

  • この文書はCERT Incident Note文書の和訳である。和訳については一切の 保証はしない。この文書を使った結果のあらゆる損害等について 訳者は一切責を負わない。また、転載は禁じる。
  • この和訳は文書の性質上、in rushであり、訳の自然さより も訳出の迅速さを目指している。内容の正確さについては訳者としての 良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を 図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが 残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の 性質上、ネットワーク管理者等であるため、この読者層に通じやすい 訳語選定を心がけている。
  • この和訳はあくまでも訳者の個人的な関心に基づいて行われている。 今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること がある。
  • 本文書の和訳について、CERTから翻訳許諾は受けていない。が、こちら の申請に対して拒絶の返事も受けていない。CERT文書は周知のために再配布 するといった行為を許可している。これが翻訳にもそのまま翻訳にも適用 されるとは考えられない(翻訳は内容の変更を伴うため)が、その本来の精神 には合致するものと考え、この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を 受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容 についての責任は最初に書いたように負わない。
  • 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
  • 関連文書は ここにリストがある。

CERT® Incident Note IN-2001-12

CERT Coordination Centerはインターネットコミュニティに対して インシデントに関する情報を提供するためインシデントメモ(incident note) を発行する。

SSH1のCRC-32攻撃検知に存在する脆弱性への付け込み 

Original release Date: November 5, 2001
Last revised: November 7, 2001

I. 概要

CERT/CCは VU#945216で 説明されるCRC-32補強攻撃検知の脆弱性を使ってシステムが攻略されたとの 報告を複数受け取っている。また、SSHサービス(22/tcp)に対するスキャン活動 が増えているとの報告も受けている。

II. 説明

CERT/CCが受け取った報告によると、この脆弱性を使って攻略されたシステム にはシステムログメッセージに次のようなパターンが記録されている。 

hostname sshd[xxx]: Disconnecting: Corrupted check bytes on input.
hostname sshd[xxx]: Disconnecting: crc32 compensation attack: network attack detected
hostname sshd[xxx]: Disconnecting: crc32 compensation attack: network attack detected
...

この脆弱性に付け入ろうとする場合、力づくで行なわれる(use a brute force method)ことがあり、実際にシステムが攻略されるまでにこの種のメッセージが大量に記録されることがある。

実際に攻略されたシステム上で、次のような加工が行なわれたのが発見されている。

  • 侵入者の行動を隠すために、標準的なシステムユーティリティを書き換えるrootkitsがインストールされていた
  • 最新のOpenSSHのソースコードに侵入者独自の改変を加えてコンパイルしたSSHソフトウェアのトロイの木馬版がインストールされていた
  • 攻撃に脆弱な他のシステムを探し出すために後半にネットワークをスキャンするツールがインストールされていた。こうしたツールが残したログから、このツールはsshdサービスに接続した際に表示される特定のバナーを探すことで動作するようになっていた。

III. 影響

侵入者はSSHデーモンに付与された権限レベル、典型的にはroot権限、で、 任意のコードを実行できてしまう。

IV. 解決策

修正パッチを適用せよ

パッチが入手できるかどうかについては、VU#945216に書かれたベンダ情報を参照せよ。修正パッチが入手できない 場合は、適切なセキュアシェルソフトウェアパッケージの最新版に更新することを CERT/CCは推奨する。

SSHv1フォールバックサポートを無効にせよ

この脆弱性はSSHv1プロトコルを扱うソフトウェアに関係するものであるから、 サイトによっては、SSHv2だけをサポートし、SSHv1フォールバックサポートは 無効にしたいかもしれない。このやり方については、利用しているセキュア シェルサーバソフトウェアのドキュメントを参照せよ。 サポートを

SSHv1サポートを無効にするのは全般としてよいやり方である。 というのは、SSHv1プロトコル自体も、SSHv1プロトコルを扱うソフトウェアも 他にも多くの脆弱性が存在するからである。

セキュアシェルサービスへのアクセスを制限せよ

修正パッチを適用できるまでは、セキュアシェルサービスへのアクセスを制限したい かもしれない。これは、ネットワーク境界でポート番号22/tcpに対してパケット フィルタリングを適用することで行なえる。 ただし、この対策を行なって攻撃を減らせはするが、ネットワーク境界で ポート番号22/tcpを遮断しても、ネットワーク内部で脆弱なサービスを悪用するのを食い止めることはできない。 どのような変更が適切であるかを決める際、まず自ネットワークの設定ならびに サービス必要要件を理解しておくのが重要である。

パケットフィルタが使えない場合は、ホスト単位でアクセス制御を行なう こともできる。セキュアシェルの実装によっては、SSHサーバ設定ファイル中のAllowHostsデリバティブでアクセス制御を設定できる ようになっているものもある。これも使えない場合は、Wietse VenemaのTCP Wrapper のようなソフトウェアを使って、セキュアシェルデーモンへのアクセスを制限する こともできる。

自分が管理しているホストが攻略されたと考える場合、次を参考にするとよい。

Steps for Recovering from a UNIX or NT System Compromise

著者: Roman Danyliw, Chad Dougherty, John Shaffer

この文書の原文は以下で入手できる。

http://www.cert.org/incident_notes/IN-2001-12.html

CERT/CCへの連絡は

電子メール: cert@cert.org
電話: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
郵便送付先:
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT/CCの職員は月曜〜金曜の personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4)であればホットラインを受け付けている。他の時間、合衆国の祝日、週末も緊急時の ため待機している。

暗号を利用する

セキュリティ上微妙な情報を電子メールで我々に送る場合は暗号化することを 強く推奨する。我々の公開PGP鍵は以下で入手できる。

DESを利用したい場合は、CERTホットラインに電話して欲しい。

セキュリティ情報を得る

CERTの出版物ならびにその他のセキュリティ情報はCERTのウェブサイトで見ることができる。

CERTの勧告、速報を配布するメーリングリストを購読したい場合は、 majordomo@cert.org に本文が次のようなメールを送ること。

* "CERT" 並びに "CERT Coordination Center" はU.S. Patent and Trademark Officeに登録されている。

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.
Conditions for use, disclaimers, and sponsorship information

Copyright 2001 Carnegie Mellon University.

更新履歴 

November 5, 2001: 初版公開
November 7, 2001: 特定の商用製品と一般用語との混乱を避けた。
この和訳は橋本喜代太(hash@reasoning.org)が行った。 和訳公開はCA-2001-35に関連するものとして行なう。

本和訳の改訂履歴
2001年12月14日午後6時00分 (JST) 初版公開

訳者並びに連絡先: 橋本喜代太