各位
JPCERT-AT-2001-0004
JPCERT/CC
2001-04-18
<<< JPCERT/CC Alert(Linux Worm) 2001-04-18 >>>
2001年初頭より Ramen, Lion, Adore と、Linux オペレーティングシステム
に感染する新種のワームが広まりつつあります。すでに JPCERT/CC でも、こ
れらのワームに関するインシデント報告を受け付けています。
これらのワームでは BIND, LPRng, rpc.statd, wu-ftpd のセキュリティ上の
弱点を利用しています。感染力が強く、場合によっては影響範囲も大きいため、
早急な対応を強くお勧めします。
すでに各 Linux ディストリビュータから本件に関するパッチまたは更新され
たパッケージが出されています(この文書の終りにある URL をご参照下さい)。
適切にこれらのパッチを適用、またはパッケージの更新を行うことを強くお勧め
します。
これらのワームに関して CIAC (Computer Incident Advisory Capability)か
らレポートが出されています。詳細については以下の URL から Fiscal Year
2001 のリンクをたどって、それぞれの文書を入手の上ご覧下さい。
http://www.ciac.org/cgi-bin/index/bulletins
L-040 "The Ramen Worm", CIAC INFORMATION BULLETIN
L-064 "The Lion Internet Worm DDOS Risk", CIAC INFORMATION BULLETIN
L-067 "Linux worm Adore", CIAC INFORMATION BULLETIN
ワームが利用する弱点についての詳細は以下の URL をご参照下さい。
CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND
http://www.cert.org/advisories/CA-2001-02.html
CERT Advisory CA-2000-22 Input Validation Problems in LPRng
http://www.cert.org/advisories/CA-2000-22.html
CERT Advisory CA-2000-17 Input Validation Problem in rpc.statd
http://www.cert.org/advisories/CA-2000-17.html
CERT Advisory CA-2000-13 Two Input Validation Problems In FTPD
http://www.cert.org/advisories/CA-2000-13.html
また SANS (System Administration, Networking, and Security) Institute
から、これらのワームを発見するツールが公開されています。詳細については以
下の URL を参照してください。
Ramen http://www.sans.org/y2k/ramen.htm
Lion http://www.sans.org/y2k/lion.htm
Adore http://www.sans.org/y2k/adore.htm
ワームが発見された際の対応一般につきましては以下の資料もご覧ください。
コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2002/ed020001.txt
A. 参考情報
以下に各ワームの概要について説明します。
- - Ramen Worm
Ramen ワームは RedHat Linux 6.2 と 7.0 を攻撃対象としたワームで、最
新のパッチが適用されていない LPRng, rpc.statd, wu-ftpd を攻撃します。
特徴として、感染後にランダムに生成したクラス B ネットワークをスキャ
ンして自分自身を感染させようとします。また、感染後にはポート 27374 で
HTTP サービスを提供し、このポートを経由してワームが含まれたアーカイブ
ファイルを提供します。また、感染したことを、電子メールで hotmail.com
と yahoo.com のあるアカウントに通知します。このメールのサブジェクトは
感染元となったホストの IP アドレスです。
感染ホストのウェブコンテンツである index.html を書き換え、Ramen Crew
という文字列とともに Ramen の画像を表示するようにするため、この名前がつ
けられました。
- - Lion Worm
Lion ワームは複数の裏口と DDoS ツールである Tribe Flood Network
(tfn2k) を仕込みます。感染するプラットホームはインテル x86 アークテクチャ
上のLinux システムで 8.2.3-REL より前のバージョンの BIND を動かしている
ホストです。
このワームは多数のユーティリティコマンドを書き換えるため、システムの再
インストールが必要となります。
ワームの特徴として、china.com に電子メールを出すことと、裏口として
1008, 60008, 33567, 33568 の各ポートを利用することが報告されています。
- - Adore Worm
Adore ワームは Ramen および Lion から派生したワームで、動作原理は似た
ものです。BIND, LPRng, rpc.statd, wu-ftpd を同時に攻撃対象とします。
感染するプラットホームはインテル x86 アークテクチャ上の Linux システム
で、上記各サービスに対して最新のパッチが適用されていないホストです。
このワームは、当初 Red Worm と呼ばれました、なぜなら RedHat Linux 7.0
ではデフォルトで LPRng がインストールされるため、対策がとられていない多
くの RedHat Linux ホストに感染することが予想されたからです。
このワームは感染すると一つの裏口を仕込みます。そしてシステム情報を特定
の電子メールアドレスに送信します。
B. 最新パッチ、パッケージ
各ディストリビューションの最新パッチ、パッケージ情報については以下の URL
を参照してください。
RedHat Linux 7.0
http://www.redhat.com/support/errata/rh7-errata-security.html
RedHat Linux 6.2
http://www.redhat.com/support/errata/rh62-errata-security.html
Debian GNU/Linux
http://www.debian.org/security/2001/
Mandrake Linux
http://www.linux-mandrake.com/en/security/
SuSE Linux
http://www.suse.com/us/support/security/index.html
Turbo Linux
http://www.turbolinux.co.jp/security/
Vine Linux
http://vinelinux.org/errata/2x/i386.html
Kondra MNU/Linux
http://www.kondara.org/
なお、今回の件につきまして当方まで提供いただける情報がございましたら、
ご連絡下さい。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/
Topへ