|
■URL
http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.worm.html
http://www.f-secure.com/slapper/
http://vil.mcafee.com/dispVirus.asp?virus_k=99693
http://www.cert.org/advisories/CA-2002-27.html
http://www.jpcert.or.jp/at/2002/at020006.txt
米国時間の13日、OpenSSLの脆弱性を狙うウィルス「Linux.Slapper」の存在が確認されたが、16日までにその被害は拡大する一方であるだけでなく、このウィルスがDDoS攻撃を仕掛けるためのP2Pネットワークを独自に構築する仕組みが備わっていることが明らかになった。Symantecは、Linux.Slapperの警告度を「2」に上げている。Linuxホストを運用しているユーザーは、至急OpenSSLの最新パッチを当ててセキュリティーホールをふさぐ必要がある。
このウィルスは、ターゲットマシンのポート80に対してHTTPリクエスト送り、それによってApacheを利用していることが判明すると、ポート443に接続して攻撃コードを送り込む。この攻撃コードは現在確認されているところによれば、Intelシステムでしか動作しない「bugtraq.c」というソースコードでUUEncodeされている。コードが送り込まれると、ウィルスは解凍された後、gccを使ってこれをコンパイルし、コンパイルされた「.bugtraq」ファイルを/tmpディレクトリーに置く。ウィルスは感染したコンピューターの中のメールアドレスやIPアドレスを探し、それを手がかりに次々と感染を広げていく。このバイナリコードは、IPアドレスをパラメータとして受け取り、このウィルスに感染しているコンピュータからなるP2Pネットワークを構築し、攻撃者の命令どおりに他のマシンに対してDDoS攻撃をしかけられるように準備する。その際すべてのシステムはUDPポート2002を空けて攻撃者の命令を受け取るようになっている。
このように感染したコンピューターからなるP2Pネットワークを構成してさらなる攻撃を仕掛けるようなウィルスは初めてのケースであり、被害の拡大が懸念されている。F-Secure社の16日時点の調査によれば、このウィルスに感染したホストは合計で1万1,249台に及び、.jpドメインだけでも438ホストが感染しており、この伝播の速さは大規模な被害を出したウィルス「Code Red」を上回っているという。また、感染対象となるOpenSSLをインストールしているホストは100万以上になると推定されているため、早急にすべてのホスト管理者が最新パッチを当てる必要がある。
このウィルスに対処するためF-Secureは、P2Pネットワークに利用されているプロトコルを解析し、囮サーバーを既に設置した。この囮サーバーにより感染しているホストのIPアドレスや感染状況、このP2Pネットワークから攻撃されているサイトなどの情報を得られる可能性がある。F-Secureでは感染しているIPアドレスの管理者の元に警告の連絡を行なっているという。
このウィルスに関してはCERTも「Apache/mod_ssl Worm」としてアドバイザリーを発行しているほか、RedHat、DebianなどさまざまなLinuxベンダーが対処方法を公開しており、これらの情報を十分に利用することができる。
(2002/9/17)
[Reported by 青木 大我 (taiga@scientist.com)]