米CERT/CCや米Internet Security Systems(ISS)などは米国時間2月12日,ベンダー100社以上のOSやネットワーク製品には,SNMP(Simple Network Management Protocol) v1の実装に関する多数のセキュリティ・ホールがあることを明らかにした(関連記事)。

 セキュリティ・ホールを悪用すると,コンピュータやネットワーク機器のサービスを中断あるい停止させることができる。任意のコードを実行されて,コンピュータなどを乗っ取られる恐れさえある。

 対策は修正パッチの適用や不要なSNMPサービスの停止,外部からのSNMPアクセスの禁止など。ネットワークに接続された多くの機器が影響を受け,既に攻撃が報告されている。ネットワーク管理者などは早急に対策を施す必要がある。

 SNMPとは,コンピュータやネットワーク機器を遠隔から監視および管理するためのプロトコル。ほとんどすべてのOS および ルーター,ケーブル・モデム,ネットワーク・プリンタといったネットワーク機器(ソフト)に実装されている。

 SNMPは「エージェント」と「マネージャ」から構成される。エージェントが管理対象となるコンピュータや機器上で動作し,マネージャはネットワーク管理ツールなどに含まれる。マネージャからエージェントにリクエストを送信し,機器の状態を問い合わせたり,設定を変更したりする。問い合わせに対して,エージェントはマネージャへレスポンスを返す。また,通常とは異なるイベントなどが発生した場合,エージェントはマネージャへ「トラップ」と呼ばれる情報を送信する。

 これら一連のやり取りの中で,エージェントによるリクエストの取り扱い,マネージャによるトラップの取り扱いに複数のセキュリティ・ホールが存在するために,SNMPで特定のデータを送信されると,サービスを停止したりしてしまうことになる。

 影響を受ける製品やベンダーについては,米CERT/CCが公開しているリストを参照してほしい(リスト1リスト2)。リストに載っていないベンダーや,影響の有無が「unknown」のベンダーについては,各自問い合わせることを米CERT/CCでは勧めている。ベンダーによっては,既に情報とパッチを公開している(例えば,米Cisco Systems米Sun Microsystems など)。

 対策は,ベンダーが公開している修正パッチを適用することや,不要なSNMPサービスを停止すること。許可していないホストからのSNMPアクセスを禁止することも有効である。具体的には,ルーターやファイアウオールで,SNMPが使用するポート(UDPの161番,162番)を遮断する。なお,これら以外のポートをSNMPサービスに使用している場合もあるので注意が必要である。

 米CERT/CCのFAQによれば,ホーム・ユーザーも影響を受ける恐れがある。Windows OSでSNMPサービスを有効にしている場合やUNIX/Linux OSを使用している場合,ルーターやモデム,ファイアウオール製品を使用している場合などである。デフォルトでSNMPサービスが有効になっていることは少ないが,念のために確認したほうがよいだろう。

◎参考文献
Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP)(米CERT/CC)
Simple Network Management Protocol (SNMP) Vulnerabilities「Frequently Asked Questions (FAQ)」(米CERT/CC)
Vulnerability Note VU#854306「Multiple vulnerabilities in SNMPv1 request handling」(米CERT/CC)
Vulnerability Note VU#107186「Multiple vulnerabilities in SNMPv1 trap handling」(米CERT/CC)
PROTOS Remote SNMP Attack Tool(米Internet Security Systems)
Potential for Multi-Sector Internet Outages(米National Infrastructure Protection Center)
Cisco Security Advisory: Malformed SNMP Message-Handling Vulnerabilities(米Cisco Systems)
Security Bulletin #00215「snmpdx」(米Sun Microsystems)

(勝村 幸博=IT Pro)