米Internet Security Systems(ISS)は米国時間3月18日,同社のセキュリティ製品「RealSecure」や「BlackICE」,「Proventia」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたデータを送られると,任意のプログラムを実行させられる恐れがある。このセキュリティ・ホールを突くワームも既に出現している。対策は最新のXPU(X-Press Update)を適用すること。
今回のセキュリティ・ホールは,サーバー製品だけではなく,「BlackICE PC Protection」や「RealSecure Desktop Protector」といったクライアント製品にも存在するので注意が必要である(影響を受けるバージョンの詳細やXPUの公開状況については,同社ページを参照のこと)。
今回のセキュリティ・ホールは,同社製品が備える「ISS Protocol Analysis Module」(PAM)コンポーネントのICQインスタント・メッセージング・プロトコル解析ルーチンに見つかった。細工が施されたデータを送信されると,バッファ・オーバーフローが発生し,任意のプログラムを実行される恐れがある。
実際,このセキュリティ・ホールを突いて感染を広げるワーム「Witty」が出現している。Wittyが送信する攻撃パケットの発信元ポートはUDP4000番である。警察庁では3月20日,Wittyのものと思われるトラフィック増加を確認しているという。なお,アプライアンス製品「Proventia」には今回のセキュリティ・ホールが存在するものの,Wittyには感染しない。
対策は最新のXPUを適用すること。XPUは攻撃を検知するための定義情報(シグネチャ)だが,今回のセキュリティ・フィックス(パッチ)も含まれている。同社の「Download Center」などから入手できる。
◎参考資料
◆Vulnerability in ICQ Parsing in ISS Products(米Internet Security Systems)
◆BlackICE Witty Worm Propagation(米Internet Security Systems)
◆ISS 製品における ICQ 解析の脆弱点(インターネット セキュリティ システムズ)
◆BlackICE Wittyワーム(インターネット セキュリティ システムズ)
◆ISS製品の脆弱性及びWittyワームの発生について(警察庁)
◆Internet Security Systems PAM ICQ Server Response Processing Vulnerability(米eEye Digital Security)
◆ISS Multiple Products ICQ Server Response Processing Vulnerability(デンマークSecunia)
(勝村 幸博=IT Pro)
