米US-CERTなどは米国時間10月18日,オープンソースのIDS(侵入検知システム)ソフト「Snort 2.4.x」に見つかったセキュリティ・ホールを警告した。Snortが監視するネットワークに細工が施されたパケットを送信されると,Snortが稼働するマシン上で任意のプログラムを実行される可能性がある。SnortあるいはSnortのコンポーネントを利用しているIDS/IPS(侵入防止システム)製品(例えば,Sourcefire Intrusion Sensors)やSnortを含むOSディストリビューション(例えば,FreeBSD)も影響を受ける。対策は最新版のSnort 2.4.3にアップグレードすること。特定のモジュール(プリプロセッサ)を無効にすることでも回避できる。
今回のセキュリティ・ホールは,Snortに含まれるモジュールの一つ「Back Orifice Preprocessor」に存在する。これは,バックドア・プログラムの一種である「Back Orifice」を検出するためのモジュール。パケットの中にBack Orifice特有の情報(Back Orifice pingメッセージ)が含まれていないかどうかを調べる。
このモジュールにバッファ・オーバーフローのセキュリティ・ホールが見つかった。このため細工が施されたパケットを処理しようとすると,中に含まれた任意のプログラムを実行させられる可能性がある。プログラムはSnortの実行権限(通常はrootやSYSTEM)で実行される。
セキュリティ組織やベンダー各社では,今回のセキュリティ・ホールは特に危険であると警告している。まず第一に,Snortの監視下にあるネットワークにパケットを送信するだけで,今回のセキュリティ・ホールを突くことができる。Snortが稼働するマシンへ直接送信する必要がない。また,細工を施したUDPパケットを1つ送信するだけでセキュリティ・ホールを突けるという。
さらに,攻撃用のUDPパケットはどのポートあてに送ってもかまわない。このため,攻撃用パケットを検出することが困難であるという。加えて,今回のセキュリティ・ホールは単純なバッファ・オーバーフローなので,攻撃用パケットを作成することが容易である。
以上の理由から,米SANS Instituteなどでは,「Exploit(セキュリティ・ホールを突くコード)がすぐに出現するだろう」と注意を呼びかけている。SnortあるいはSnortをベースとする製品を使っている場合には,対策が急務である。
対策は,セキュリティ・ホールが存在するBack Orifice Preprocessorを無効にすること(デフォルトは有効)。Snortの設定ファイル「snort.conf」中の「preprocessor bo」行をコメント・アウトして(行頭に#を付けて「# preprocessor bo」として)snort.confを保存し,Snortを再起動する。
現在では,他の悪質なプログラム(トロイの木馬やボットなど)と比べて,Back Orificeの“脅威度”はそれほど大きいものではないので,一時的に無効にしてもそれほど問題はないと考えられる。Back Orificeを検出できないことより,セキュリティ・ホールを突かれることのほうが危険である。
セキュリティ・ホールを修正した最新版Snort 2.4.3にアップデートすることも有効な対策である。まずはBack Orifice Preprocessorを無効にして,それからアップデートすることを検討したい。
このほかSANS Instituteでは,「Back Orifice Preprocessorに限らず,不要なモジュール(プリプロセッサやコンポーネント)を無効にする」「Snortを管理者権限(root)では実行させない」「システムを“要塞化”する」ことなどを勧めている。
◎参考資料
◆Snort Back Orifice Preprocessor Buffer Overflow(米US-CERT)
◆Buffer overflow in Snort Back Orifice preprocessor(米US-CERT)
◆Snort BO pre-processor Vulnerability(米SANS Institute)
◆Snort Back Orifice Parsing Remote Code Execution(米Internet Security Systems)
◆Snort Back Orifice Pre-Processor Buffer Overflow Vulnerability(デンマークSecunia)
◆Fixes and Mitigation Instructions Available for Snort Back Orifice Vulnerability(Snort.org)
