米SANS Instituteは現地時間1月18日,1月16日以降,TCP 13701番ポートへのアクセスが急増しているとして注意を呼びかけた。13701番は,VERITAS NetBackupのサービス(デーモン)がリクエストを待ち受けているポート。同製品にはセキュリティ・ホールが見つかっているので,それを狙ったスキャンあるいは攻撃である可能性が高い。
米Symantecのバックアップ製品「VERITAS NetBackup 5.0/5.1」に深刻なセキュリティ・ホールが見つかったのは2005年11月のこと(関連記事)。NetBackup 5.xに含まれる共有ライブラリにバッファ・オーバーフローのセキュリティ・ホールが見つかった。このため,この共有ライブラリを使用するサービス「Volume Manager Daemon(vmd)」を経由させて細工を施したデータを送り込めば,NetBackupが稼働するマシン上で任意のプログラムを実行させることができる。vmdは13701番でリクエストを待ち受ける。
1月16日には,このセキュリティ・ホールを突くプログラムがネット上で公表されて話題となった(関連記事)。このプログラムを使えば,スキルのないユーザーでも簡単にセキュリティ・ホールを悪用できる。
SANS Instituteの観測システムでは,このプログラムが公表された1月16日を境に,13701番ポートへのアクセスが急増したことを確認した。1月15日に確認された13701番ポートへのアクセスは18件だったのに対して,1月16日は1万9805件,17日は6万4840件,18日は4万7350件だった。
このため同製品の管理者は,きちんと対策が施されていることを改めて確認したい。セキュリティ組織の米US-CERTでも注意を呼びかけている。
◎参考資料
◆Port 13701 spikes
◆Exploit for Vulnerability in VERITAS NetBackup Volume Manager Daemon
