米CERT/CCは米国時間5月8日,Solarisマシンに侵入して感染を広めるとともに,そのSolarisマシンからWindowsプラットフォームで動作している他のIIS(Microsoft Internet Information Server/Services)サーバーのWebページを改ざんするワーム「sadmind/IIS」を警告した。
対象となるのは Solaris バージョン7 以前および IIS 4.0/5.0。Solarisマシンへの侵入には「sadmind」プログラムのセキュリティ・ホールを,WindowsプラットフォームのIISのWebページ改ざん時には「『Web サーバー フォルダへの侵入』のぜい弱性に対する対策」と呼ばれるセキュリティ・ホールを悪用する。いずれも古いセキュリティ・ホールで,パッチや回避方法が公開されている。回避策が公開されているにもかかわらず,被害が続いているもので,管理者は改めて確認する必要がある。
まず,sadmind/IIS ワームはセキュリティ・ホールがあるSolarisマシンを見つけると侵入し,IIS サーバーのWebページを改ざんするためのプログラムをインストールする。
侵入後,セキュリティ・ホールがある別のSolarisマシンを探し,見つけると自分自身をコピーして感染を広げる。併せて,ルート・ディレクトリの「.rhosts」ファイルに「+ +」を加えて,ほかのどのマシンからでも「rsh」や「rcp」といった「r-コマンド」を管理者権限で使えるようにしてしまう。
 |
| 写真●「sadmind/IIS」ワームに改ざんされたとみられる,ある国内企業のWebページ |
さらに,侵入した Solaris マシンからセキュリティ・ホールがあるWindowsベースのIISサーバー・マシンを探し,発見するとそのページをリモートから改ざんする(写真)。ワームは改ざんを続け,2000台のIISマシンのWebページを改ざんした後,Solarisマシン内のindex.htmlも改ざんする。
Solarisマシンにワームが侵入する際には sadmind のセキュリティ・ホールを悪用する。sadmind はリモートからシステム管理を行うためのプログラムで,Solaris 2.5/2.6/7 にデフォルトでインストールされている。Solaris 2.3 および 2.4 では,「Sun Solstice Adminsuite」パッケージをインストールした場合に sadmind がインストールされる。このセキュリティ・ホールは CERT/CC が99年12月に既に警告しており,米Sun Microsystems はパッチを公開している。また,sadmind を無効にすることでも影響を回避できる。
ワームがIISサーバーのページを改ざんする際に悪用するセキュリティ・ホールも,既に公開されているものだ。マイクロソフトはこのセキュリティ・ホールを2000年10月に公開し,パッチも用意している。
いずれもセキュリティ組織やベンダーから警告が出され,パッチなどが公開されているセキュリティ・ホールである。これらを放置したままのマシンがワームの“えじき”となっている。外部からアクセス可能な Solaris マシンおよび IIS サーバーを運用している管理者は改めて確認する必要がある。
上記のセキュリティ・ホールを突けば,Solarisの場合には管理者権限,IIS(Windows)の場合には「IUSER_マシン名」の権限で任意のコマンドを実行できてしまう。そのため,今回警告されたワームよりも悪質なワームが登場する可能性はある。十分注意が必要だ。
◎関連記事
■IIS 5.0のインターネット印刷機能に深刻なセキュリティ・ホール
■IIS 5.0の深刻なセキュリティ・ホールを解説する
■Windows 2000のIIS 5.0に,外部からプログラムを実行されるセキュリティ・ホール
■サーバー・ソフト「ftpd」と「ntpd」に深刻なセキュリティ・ホール
■Solaris を狙うDDoSツール「Carko」を米CERT/CCが警告
■「HTR」に起因する,IISのセキュリティ・ホールが再び発覚
■深刻なセキュリティ・ホールをふさぐ,IISの日本語版用パッチがようやく公開
■IISの深刻なセキュリティ・ホール「RDS問題」
