■URL
http://httpd.apache.org/
http://www.symantec.com/avcenter/venc/data/freebsd.scalper.worm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF_SCALPER.A
http://vil.mcafee.com/dispVirus.asp?virus_k=99539
http://www.f-secure.com/v-descs/scalper.shtml
http://www.ipa.go.jp/security/ciadr/20020619apache.html
6月17日に公表されたWebサーバー「Apache」の脆弱性を利用して攻撃を仕掛けるワームが発見された。セキュリティー企業各社は、対策として早急にこの脆弱性が修正された最新バージョンのApacheへのバージョンアップを呼びかけている。
発見されたのは「Scalper」と名付けられたワームで、企業によって「FreeBSD.Scalper.Worm」(Symantec)、「ELF_SCALPER.A」(TrendMicro)、「BSD.Scalper.Worm」(McAfee)、「UNIX.Scalper.A」(F-Secure)など呼び名が異なる。
名前から分かるように、このワームはFreeBSD上で動作しているApacheでバージョンが1.x代のものに感染する。感染すると感染コンピュータのUDPポート2001を開き、リモートコマンドを受け付けるようにし、シェルコマンドの実行を行なったり、他のコンピュータに対してDDoS攻撃を仕掛けると考えられている。また、他のコンピュータにHTTPリクエストを送信し、Apacheの動作を確認するとそのコンピュータにも感染しようとする。ほかにはコンピュータ上のメールアドレスを収集、スパムを送信することも報告されている。
現在発見されているのは運用数が少ないFreeBSDで動作するバージョンだけであるため、セキュリティー企業各社では共に危険性は低いと考えられているが、すでにSymantecでは「亜種を2件確認した」としており、他のプラットフォームで動作する亜種が作成される危険性は高いと言える。米Netcraft社の調査によれば2002年4月時点でApacheサーバーを運用しているサイトは全体の64.38%にも上り、そうなれば被害拡大は避けられない。
Apacheサーバーを監督しているApache.orgではすでにこの脆弱性を修正したバージョン1.3.26を発表しているので、被害を防ぐためにはこのバージョンをインストールすることが重要だ。
なお、情報処理振興事業協会(IPA)でも「Scalper」に対する警告を行なっている。7月1日14時現在、被害届出はないとしているが、今後の注意を呼びかけている。
◎関連記事
■Apacheの殆どのバージョンにDoS攻撃の脆弱性が発見される
(2002/7/1)
[Reported by taiga@scientist.com]