Hitach Incident Response Team

 9月6日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

Windows AutoRun(自動実行)用の更新プログラムのリリース(2009/08/26)

 マイクロソフトから,Windows XP/Vista,Server 2003/2008のAutorun(自動実行)機能を制限する更新プログラムがリリースされました。

 これまで,自動実行機能を無効化するためには,更新プログラム(KB967715)を適用した後,グループ・ポリシー設定(gpedit.mscプログラム)あるいは,レジストリ設定(NoDriveTypeAutoRunエントリー)で動作を手動で変更する必要がありました。今回の更新プログラムは適用するだけで,USBメモリー,外付けハード・ディスク,および大容量記憶装置などの自動再生の自動実行エントリーを無効にし,CD/DVDドライブの自動再生の自動実行エントリーだけを有効にします。ただし,自動更新ではなく,サポート技術資料KB971029から該当する更新プログラムをダウンロードする必要があります。

 トレンドマイクロから毎月発行されているインターネット脅威マンスリーレポートの不正プログラム感染被害報告数ランキングによれば(図1),USBメモリーの悪用に関連する不正プログラム「MAL_OTORUN(オートラン)」,「WORM_DOWNAD(ダウンアド)」の感染被害報告数は最頻時に比べ減っているものの,まだまだ被害が継続していると判断すべき状況です。ぜひ,更新プログラムの適用を検討してください。また,更新プログラムは自動実行機能を制限するだけで,USBメモリーからのウイルス感染を防ぐものではありません。Windows Updateによるぜい弱性対策とウイルス対策ソフトを最新の状態で使うことが必要です。

タイトル
図1●USBメモリーの悪用に関連する不正プログラムの被害報告件数

[参考情報]

Microsoft IISに任意のコード実行可能なぜい弱性(2009/09/02)

 Microsoft IIS(Internet Information Services)のFTPサービスに,リモートの攻撃者に任意のコード実行を許してしまうスタック・オーバーフローのぜい弱性(CVE-2009-3023)が存在します。また,IIS 5.0,IIS 5.1,IIS 6.0,IIS 7.0のFTPサービスにサービス不能につながるぜい弱性(CVE-2009-2521)が報告されています。

 ぜい弱性を悪用するコードが公開されていることから,アドバイザリ975191の回避策では,匿名ユーザーにFTPアクセスを許可しない,匿名ユーザーにFTP書き込みアクセスを許可しないなど,FTPサービスの匿名ユーザーに対する制限強化を推奨しています。公開されているコードを使った攻撃の場合には,アクセス・ログに写真1のようなメッセージが記録されますので,IIS FTPサービスの監視に利用できると思います。

タイトル
写真1●IIS FTPサービスのアクセスログ例

[参考情報]

Cyber Security Bulletin SB09-243(2009/08/31)

 8月24日の週に報告されたぜい弱性の中から,Firewall Services Module,Unified Communications Manager,PHPで開発されたWebサイト用プログラムに関するぜい弱性を取り上げます(Vulnerability Summary for the Week of August 24, 2009)。

■米シスコFirewall Services ModuleのICMP処理にサービス不能のぜい弱性(2009/08/19)

 Catalyst 6500シリーズのスイッチ,Cisco 7600シリーズのルーターに搭載するCisco Firewall Services Module(FWSM)のICMP処理にぜい弱性が確認されました。不正なICMPメッセージ群を受信したときにパケット転送処理が停止する(CVE-2009-0638)といったものです。

[参考情報]

■米シスコUnified Communications Managerに複数のぜい弱性(2009/08/26)

 IPテレフォニーのための呼処理の基盤であるCisco Unified Communications Managerに,サービス運用妨害につながる複数のぜい弱性が確認されました。

 不正なヘッダーを持つSIP(session initiation protocol)メッセージの処理(CVE-2009-2050),不正なSIP INVITEメッセージの処理(CVE-2009-2051),SIPとSSCP(skinny client control protocol)に関連するTCPコネクション確立処理(CVE-2009-2052)ならびに,SIPとSCCPに関連する大量のTCPパケット受信処理(CVE-2009-2053,CVE-2009-2054)に,リソース枯渇などが引き金となり転送処理が阻害されサービス不能が発生するといったものです。

 対象となるSIPポート番号は5060/TCP,5061/TCP,5060/UDP,5061/UDPです。SSCPは米シスコが開発した独自の呼制御プロトコルで,対象となるポート番号は2000/TCP,2443/TCPです。

[参考情報]

■米サン・マイクロシステムズ Solaris 8,9の印刷サービスにサービス不能のぜい弱性(2009/08/25)

 Solaris 8,9の印刷サービスのサーバー(in.lpd)にサービス不能につながるぜい弱性が報告されています。このぜい弱性は,fork()/exec()が引き金となってメモリー消費が発生し,サービス不能につながるというものです。

[参考情報]

■PHPで開発された複数のWebサイト用プログラムにぜい弱性

 8月24日の週に報告されたPHPで開発されたWebサイト用プログラムのぜい弱性は計38件(2008年分:33件,2009年分:5件)です。8月17日の週(70件)と同様,SQLインジェクション,クロスサイト・スクリプティング,パス・トラバーサルのぜい弱性が上位を占めています(図2)。

SQLインジェクション(CWE-89):9件
クロスサイト・スクリプティング(CWE-79):8件
パス・トラバーサル(CWE-22):6件
認可・権限・アクセス制御(CWE-264):6件
コード・インジェクション(CWE-94):4件
クロスサイト・リクエスト・フォージェリ(CWE-352):3件
不適切な入力確認(CWE-20):1件
その他:1件

タイトル
図2●PHPで開発されたWebサイト用プログラムのぜい弱性種別

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。