米Symantecは米国時間3月15日,同社のゲートウエイ製品の一部に,DNSの情報を勝手に書き換えられるセキュリティ・ホールがあることを明らかにした(日本語訳)。3月4日に報告された,悪質なサイトへ誘導されるインシデントの原因の一つが,このセキュリティ・ホールを突いた攻撃(DNSキャッシュ・ポイズニング攻撃)だと考えられる(関連記事)。対策はパッチを適用すること。管理者はすぐに適用したい。
セキュリティ・ホールが見つかった製品は以下のとおり。
・Symantec Gateway Security 5400 Series, v2.x
・Symantec Gateway Security 5300 Series, v1.0
・Symantec Enterprise Firewall, v7.0.x (Windows 版および Solaris 版)
・Symantec Enterprise Firewall v8.0.x (Windows 版および Solaris 版)
・Symantec VelociRaptor, Model 1100/1200/1300 v1.5
これらが備えるDNSサーバー機能にセキュリティ・ホールが見つかった。第三者にこのセキュリティ・ホールを突かれると,DNSレコードを改ざんされる。その結果,ユーザーがアドレス解決すると,実際とは異なるIPアドレスが返されて,悪質なサイトへ誘導される。オンライン詐欺「ファーミング」に悪用される可能性もある(関連記事)。
実際,今回のセキュリティ・ホールが悪用されて,多数のユーザーが悪質なサイトへリダイレクトされてしまった。Symantecのゲートウエイ製品には,DNS情報の改ざんを許すセキュリティ・ホールが2004年6月にも見つかっているので,当初はそのセキュリティ・ホールが原因だと考えられた。ところが,そのセキュリティ・ホールをふさいでいるマシンでも,DNS情報が改ざんされていた。そしてその後の調査で,今回のセキュリティ・ホールが明らかとなった。
対策はパッチ(hotfix)を適用すること。同社の「エンタープライズ・サポートサイト」から入手できる。
◎参考資料
◆Symantec security gateway DNS redirection(米Symantec)
◆シマンテックのセキュリティ・ゲートウェイ製品に DNS リダイレクションの脆弱性(シマンテック)
◆LLSSRV; The end of the Internet; DNS Cache Poisoning; New Handler(米SANS Institute)
◆Symantec Products Unspecified DNS Cache Poisoning Vulnerability(デンマークSecunia)
◆Symantec Security Gateway Products DNS Cache Poisoning Issue(仏K-OTiK Security)
(勝村 幸博=IT Pro)
