2001年1月末,数多くのDNSサーバーで使用されているサーバー・ソフト「BIND」に4種類の新たなセキュリティ・ホールが見つかった。CERT/CCの警告から2週間が経過したにもかかわらず,危険な状態のままのBINDが数多く稼働している。これは,緊急性を要する問題への対応手順がきちんと決まっていないことが原因の一つと考えられる。攻撃された場合の影響は非常に大きい。ユーザーは早急にバージョン・アップなどの対策をとる必要がある。
インターネットを支えるDNSサーバー
IPアドレスからホスト名,およびホスト名からIPアドレスへの変換サービス,すなわち「DNS (Domain Name System)」を提供するサーバーを運用している組織は多いだろう。実際,インターネット上にDNSサーバーは数多く存在し,ユーザーがホスト名から様々な資源にアクセスするための“道しるべ”として,日夜,稼働し続けている。
現在,DNSサーバーで使用されているサーバー・ソフトウエアの多くは,ISC (Internet Software Consortium)によってメンテナンスされている「ISC BIND (Berkeley Internet Name Domain) 」である。
ISC BINDは,その生まれ故郷であるUNIX上で稼働するほか,熱心で才能ある人々の尽力によって,Windows NTやWindows 2000でも,その恩恵を受けられるようになっている。インターネットをここまで発展させた要因の1つは,DNSサーバー,すなわち“BINDの誕生と成長”にあった,と言っても過言ではない。
BINDに新たなセキュリティホール
そのBINDに,新たなセキュリティ・ホールが見つかった。セキュリティ情報の発信源として有名なCERT/CC (Computer Emergency Response Team/Coordination Center) が,「CERT アドバイザリ CA-2001-02(初版:2001年 1 月 29 日)」で,BINDに4種類のセキュリティ・ホールが発見されたことを発表した。
4種類のセキュリティ・ホールを整理したのが下表である。
| 表●新たに発見されたISC BINDのセキュリティ・ホール | |||
| 番号 | 名称 | 影響 | 対象 |
|---|---|---|---|
| No.1(VU#196945) | トランザクション・シグネチャ処理コードでのバッファ・オーバーフロー | システム権限の奪取,任意のコード実行 | バージョン 8.2.3 未満 |
| No.2(VU#572183) | nslookupComplain()でのバッファ・オーバーフロ- | DoS攻撃,任意のコード実行 | バージョン 4.9.8 未満 |
| No.3(VU#868916) | nslookupComplain()の入力チェック・エラー | DoS攻撃,任意のコード実行 | バージョン 4.9.8 未満 |
| No.4(VU#325431) | クエリによるサーバーの環境変数情報の開示 | プログラム・スタックからの情報読み出し,環境変数へのアクセス | バージョン 4.9.8 未満,8.2.3 未満 |
No.1からNo.3までのセキュリティ・ホールは, PGP Securityの「COVERT Labs」によって発見され,同研究所の環境で再現性も検証された。これらのセキュリティ・ホールを突かれると,攻撃者が意図したコードを,ISC BINDが動作している権限で,リモートから実行される恐れがある。不注意な管理者によって,ISC BINDがroot権限(管理者権限)で動かされている場合には,事態はより深刻になる。任意のコードを管理者権限で実行される可能性があるからだ。
No.4のセキュリティ・ホールは,Claudio Musmarra氏によって発見された。このセキュリティ・ホールを悪用すると,DNSサーバーの情報を入手したり,環境変数にアクセスすることが可能となる。そのため,No.2やNo.3のセキュリティ・ホールを突いた攻撃,あるいはその他の攻撃の“下準備”に悪用される恐れがある。
これらのセキュリティ・ホールに関する,さらに詳しい内容については,文末に関連URLを記載しておくので,適宜参照してほしい。
一刻も早いバージョン・アップを!!
上述のように,これらのセキュリティ・ホールは非常に深刻である。CERT/CCアドバイザリでも,「危険性が高く,組み合わせて悪用することで,インターネットに多大な影響を与える可能性がある」とし,ユーザーに対して,早急なバージョン・アップを推奨している。
BINDのメンテナンスをしているISCは,これらのセキュリティ・ホールの対策版として,ISC BIND バージョン 4.9.8と 8.2.3 をリリースした。また,Windows NT/2000 版である「BIND for NT」においても,バージョン 8.2.3 がリリースされている。
なお,CERT/CCの報告によると,バージョン 9.xは影響を受けないという。CERT/CC は,ISC BIND 4.9.x もしくは 8.2.x のユーザーへ,ISC BIND 4.9.8 あるいは 8.2.3,もしくは 9.1 へのバージョン・アップを推奨している。
ただし,ISC 自身も「このバージョンはインターネット向けではない(筆者訳)」と表明しているように,ISC BIND 4.x は既に過去のものとなっている。そのため,4.9.8 にバージョン・アップするよりも,8.2.3 へのバージョン・アップを,筆者は強く推奨する。また,必要であれば,9.1へバージョン・アップしても構わないと考えている。
ISC BINDから派生したバージョン,あるいはISC BINDを同こんしたソフトウエアも上記の問題の影響を受けると,CERT/CCは伝えている。ベンダーからのアドバイザリや,CERT/CC のアドバイザリを参考に,もし影響を受けるバージョンを使用している場合には,ためらうことなくバージョン・アップすることを推奨する。
「qmail」の作者,D. J. Bernstein氏による,UNIX環境のDNSサーバー「djbdns」は,この問題の影響を受けない。可能であれば,djbdnsへの変更も検討の余地があるだろう。
緊急度の高さとは裏腹に, バージョン・アップしていない環境が多く残存
CERT/CCからアドバイザリが出てから,はや2週間が経過した。その間に,これらのセキュリティ・ホールを実証するためのコード(エクスプロイト・コード)が,セキュリティ関連のメーリング・リスト「Bugtraq」に,2度投稿された。
しかし,最初に投稿されたエクスプロイト・コードは, BINDの問題とは関係のない,米Network Associates Inc. (NAI) に DoS(Denial of Service)攻撃を行う「トロイの木馬」であった。このコードを疑うことなく実行したスクリプト・キディ *1 により,NAIは被害を受け,ニュースとしても報道された。このトロイの木馬は,スクリプト・キディへの“警告”として投稿されたといわれている。
2月9日にBugtraqへ投稿された,2番目のエクスプロイト・コードは“本物”だった。BINDのセキュリティ・ホールを利用して,リモートからの侵入を成功させるコードだった。そのため,ISC からは「本当のエクスプロイトが出現した」という旨の勧告が出された。
BINDのセキュリティ・ホールは,過去に何度も見つかっている。そのたびに,CERT/CC は,セキュリティ・ホール情報と,その問題を悪用した攻撃への対策法を公開してきた。併せて,「セキュリティ・ホールが見つかると,コンピュータを危険な状態に陥れるためのツール開発を,攻撃者はすぐに開始し,利用し始める」ことを警告している。今回のアドバイザリでも,同様に警告していた。
そして,上述のように,実際にエクスプロイト・コードが出現している。警告通り,悪用されるのも時間の問題だ。
そんな状況にもかかわらず,バージョン・アップしていない,危険な状態のままのBINDがインターネット上で数多く稼働している。事態は深刻である。
*1:既存のエクスプロイト・コードを使用することしかできない,いたずら好きの子供,という意味
緊急時の対応手順の確立を
なぜ,このような事態になっているのか。それは,緊急性を要する問題への対応手順がきちんと決まっていないためである。
バージョン・アップしたり,パッチを当てるのに,認可のハンコが何個も必要な上に,上司の決裁書をさらに必要とするような,“日本古来”の手順を踏んでいては,今回のような緊急事態には対応できない。問題の解決や復旧が先送りになってしまうことは必至だ。
そのような事情で対応に時間がかかっているにもかかわらず,管理者以外のユーザーなどの目には,「管理者の怠慢」にしか見えない。対応までのタイムラグは,システムを危険にさらすことはもちろん,ユーザーの不信感を招くことになりかねない。そうならないためにも,緊急性を要する問題への対応手順を,セキュリティ・ポリシーとして持つことは,組織として重要である。
参考 URL
■ISCからの,4種類のセキュリティホールに関するアナウンス
■CERT/CC アドバイザリ
原文:http://www.cert.org/advisories/CA-2001-02.html
邦訳版:http://www.lac.co.jp/security/information/CERT/CA-2001_02.html
■ISC BIND 4.9.8 と 8.2.3 の入手先(ftp://ftp.isc.org/isc/bind/src)
■ISC BIND 9.1 の入手先(ftp://ftp.isc.org/isc/bind9)
田中 健介(Tanaka Kensuke)
株式会社ラック 不正アクセス対策事業本部
kensuke@lac.co.jp
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。
