米CERT/CCや米Internet Security Systems(ISS)は米国時間9月14日,OpenSSLのセキュリティ・ホールを狙うワームが流行していることを警告した(関連記事)。ターゲットとなるのは,OpenSSL 0.9.6d以前のSSLモジュール(mod_ssl)を使用していて,Linux上で動作するApacheサーバー。 ただし,SSL v2(2.0)を有効にしていて,かつ,ハードウエアがIntel x86マシンの場合に限られる。対策は,パッチの適用やOpenSSLのバージョン・アップなど。
今回警告されたワームは,「Apache/mod_ssl」あるいは「Slapper」,「bugtraq.c」ワームと呼ばれている。ワームは次のようなリクエストを,インターネット上のマシンのTCP 80番ポートに送信して,攻撃対象のApacheサーバーを探す。
GET /mod_ssl:error:HTTP-request HTTP/1.0
レスポンスからApacheサーバーであることが分かると,TCP 443番ポート(SSLが使用するポート)経由でワームのソース・コードを送り込む。その後,送り込んだソース・コードをコンパイルし,対象マシン上でワームを実行する。対象マシン上で実行されたワームは,再び感染を広げるべく,セキュリティ・ホールがあるApacheサーバーを探す。
加えて,各マシン上で動作するワームは UDP 2002番経由で通信を開始し,ピア・ツー・ピア(P2P)のネットワークを形成する。このネットワークを使えば,それぞれのマシンに,特定パケットを特定のIPアドレスへ向けて一斉に送信させることなどが可能となる。すなわち,DDoS(Distributed Denial of Service:分散サービス妨害)攻撃のプラットフォームとして悪用できてしまう。実際ISSによれば,このような攻撃が既に確認されているという。
ワームの侵入を許している場合,サーバーには,ワームのソース・コードとバイナリが,それぞれ /tmp/.bugtraq.c,/tmp/.bugtraq として存在する。もしワームに侵入されているようなら,CERT/CCやJPCERT/CCなどの情報を参考にして対処したい。
対策はベンダーが公開するパッチの適用や,OpenSSLのバージョンアップである。SSL v2を無効にすることでもワームを回避できる。無効にする方法については,CERT/CCのアドバイザリに詳しい。ただしSSL v2を無効にしても,既に見つかっているOpenSSLのセキュリティ・ホールすべてをふさぐことはできないので注意が必要である。
◎参考資料
◆CERT Advisory CA-2002-27 Apache/ mod_ssl Worm(米CERT/CC)
◆"Slapper" OpenSSL/Apache Worm Propagation(米ISS)
◆OpenSSL servers contain a buffer overflow during the SSL2 handshake process(米CERT/CC)
◆CERT Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL
◆緊急報告 - OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム(JPCERT/CC)
(勝村 幸博=IT Pro)
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
