米SANS Instituteは米国時間8月3日,「BrightStor ARCserve Backup for Windows」などのエージェント・ソフトに見つかったセキュリティ・ホールを突くプログラムがネット上で公開されているとして,改めて注意を呼びかけた(関連記事)。エージェント・ソフトがリクエストを待ち受けるTCPポート6070番へアクセスするトラフィックも急増したという。米US-CERTでも同様の注意を呼びかけている。同製品の管理者は注意したい。
米Computer Associates(CA)の「BrightStor ARCserve Backup for Windows」や「BrightStor Enterprise Backup for Windows」のエージェント・ソフト(例えば, BrightStor ARCserve Backup Agent for Microsoft SQL server)には,バッファ・オーバーフローのセキュリティ・ホールが見つかっている。CAでは米国時間8月2日に概要を公表するとともに,修正パッチを公開している。
セキュリティ・ホールが存在するエージェント・ソフトに細工が施されたデータを送信されると,エージェントが不正終了したり,エージェントが稼働するマシン上で任意のコードを実行されたりする(任意のコードはSYSTEM権限で実行される)。SANSによると,細工が施されたデータを送信するプログラムが,少なくとも3種類,ネット上で公開されているという。セキュリティ・ホールが存在するエージェント・ソフトを調べるための“スキャナー”も公開されている。これらが,実際の攻撃に悪用される可能性は高い。
実際,SANSの調べでは,エージェント・ソフトがリクエストを待つTCPポート6070番へアクセスするトラフィックが8月3日に急増している。これらは,攻撃の“下準備”のためのアクセスである可能性がある。同製品の管理者はできるだけ早急に対応したい。
◎参考資料
◆Handler's Diary August 3rd 2005(米SANS Institute)
◆Vulnerability in Computer Associates BrightStor ARCserve Backup Agents(米US-CERT)
