米CERT/CCは米国時間11月13日,ネットワーク解析ツール「tcpdump」およびパケット収集用ライブラリ「libpcap」のソース・コードに,トロイの木馬が仕込まれている恐れがあることを警告した。トロイの木馬入りソース・コードは米国時間11月11日ごろに,Webサイト「www.tcpdump.org」からダウンロード可能となっていた。現在はダウンロードできないが,ミラー・サイトなどには依然トロイの木馬入りコードが置かれている可能性がある。11月11日以降にダウンロードしたユーザーは,MD5のチェックサムを比較するなどして確認する必要がある。
トロイの木馬が仕込まれたソース・コードをコンパイルすると,トロイの木馬プログラムが動作し始め,外部のある特定のサーバーへ接続する。接続が確立すると,そのサーバー(IPアドレス)からTCPポート1963番経由で任意のプログラムを実行することなどが可能となる。このときの実行権限は,トロイの木馬入りソース・コードをコンパイルしたユーザーの権限と同じものになる。もしroot権限でコンパイルされていれば,攻撃者はそのマシンを完全に乗っ取ることが可能となる。
また,攻撃が見つからないようにするために,トロイの木馬が含まれたtcpdumpやlibpcapのソースには改変が加えられている。具体的には,TCPポート1963番のトラフィックは無視するように改変されている。
CERT/CCは,tcpdump(tcpdump-3.6.2.tar.gz, tcpdump-3.7.1.tar.gz)やlibpcap(libpcap-0.7.1.tar.gz)をダウンロードしたユーザーに対して,どのサイトからダウンロードした場合でも,トロイの木馬が含まれていないかどうかを検証することを勧めている。具体的には,MD5のチェックサムを調べる(問題がないtcpdump,libpcapのチェックサムはCERT/CCが公開している)。ファイル・サイズやタイム・スタンプで調べるのは不十分だという。
加えて,tcpdumpやlibpcap以外についても,www.tcpdump.orgからダウンロードしたコードについては検証するよう勧めている。
現在,問題がないtcpdumpとlibpcapのコードはSourceForge.netのサイトからダウンロードできる。
◎参考文献
◆CERT Advisory CA-2002-30 Trojan Horse tcpdump and libpcap Distributions
(勝村 幸博=IT Pro)
