米SANS Instituteは米国時間10月25日,オープンソースのIDS(侵入検知システム)ソフト「Snort」のセキュリティ・ホールを突くプログラムがインターネット上で公開されているとして注意を呼びかけた。未対策のSnortユーザーは,できるだけ早急に設定変更あるいはバージョンアップを実施する必要がある。
公開されたプログラムが突くのは,セキュリティ組織やベンダーなどが米国時間10月18日に警告した「Back Orifice Preprocessor」のセキュリティ・ホール(関連記事)。悪用することが比較的容易なため,セキュリティ・ホールを突くプログラムが作られることはある程度予想されていた。それが今回,実際に作成ならびに公表された。
公開されているプログラムは,Snortが稼働するマシン上でリモート・シェルを起動するもの。リモート・シェルを起動されると,攻撃者にインターネット経由でそのマシンを自由に操られる可能性がある。
今回公開されたようなプログラムを基に,自動的に感染を広げるワーム(ウイルス)などが作成される可能性は高い。セキュリティ・ホールをふさいでいないSnortユーザーは,早急に対策を施した。SANS Instituteでは「If you didn't patch yet or applied the workarounds, do you need more reasons?」として,対策を施すよう呼びかけている。
対策は,Snortの設定ファイル「snort.conf」中の「preprocessor bo」行をコメント・アウトして,セキュリティ・ホールが存在するBack Orifice Preprocessorを無効にすること。あるいは,最新版のSnort 2.4.3にアップグレードすること。今回のセキュリティ・ホールを突くプログラム(パケット)を検出するツールやSnort用シグネチャも公開されているので,必要に応じて利用したい。
◎参考資料
◆Exploit for Snort BO available!
◆Tools for the Snort Back Orifice pre-processor buffer overflow
