セキュリティ対応機関JPCERT/CCは6月28日,VERITAS Backup Execのセキュリティ・ホールを狙うスキャンが増加しているとして,注意を呼びかけた。6月22日(現地時間)に米VERITASが公開したこのセキュリティ・ホールは,リモートから任意のコードを実行され,管理者権限を取得される恐れがあるもの。JPCERT/CCでは「攻撃手法が公開されていることから,今後インシデントが多数発生する可能性がある」として,パッチ適用などの対策をとるよう要請している。
VERITAS Backup Execのセキュリティ・ホールに対しては,米CERT/CCが6月26日(現地時間),これを標的としたTCPポート10000へのスキャンが増加しているとの警告を公表している(関連記事)。JPCERT/CCの定点観測システムでも,同様にスキャンの増加を確認した。
JPCERT/CCの定点観測システムによれば,TCPポート10000へのスキャンは,6月26日から観測されている。アクセス元地域は中国が多い。ただし,中国の中継サーバーを経由し他の地域からアクセスしている可能性もある。
 |
| JPCERT/CC 定点観測システムによる TCP 10000 アクセス元地域別グラフ(6月28日時点) |
問題となっているセキュリティ・ホールは,VERITAS Backup Execのリモート・エージェントで認証リクエストに含まれるデータによりバッファ・オーバーフローが発生し,リモートから任意のコードを実行される恐れがあるというもの。影響を受けるソフトウエアは,Backup Exec 10.0 for Windows Servers rev. 5484以前のバージョンおよびBackup Exec 9.1.307 for NetWare Servers以前のバージョン。
JPCERT/CCでは「すぐにパッチを適用することが困難な場合は,そのホストをネットワークから切り離す,ルーターなどのパケット・フィルタリング機能を使ってTCP10000番ポートへのパケットを制限する,などの回避策を検討してほしい」としている。
◎関連資料
◆VERITAS Backup Exec に含まれる脆弱性に関する注意喚起(JPCERT/CC)
◆VERITAS Backup Exec Remote Agent の認証要求の確認機能に脆弱性(JVN)
◆US-CERT Current Activity「Exploit for Vulnerability in VERITAS Backup Exec Remote Agent」
◆VERITAS Backup Exec Remote Agent for Windows Servers (RAWS) Buffer Overflow Vulnerability(VERITAS)
◆ Patch summary for Security Advisories VX05-001, VX05-002, VX05-003, VX05-005, VX05-006, VX05-007(VERITAS)
◆Veritas Backup Exec Agent CONNECT_CLIENT_AUTH Buffer Overflow Vulnerability(iDEFENSE)
