2001年 6月 1日更新
更新履歴

情報処理振興事業協会
セキュリティセンター
2001年 5月18日

ワーム sadmind/IIS　によるWeb 改ざんインシデントの対策について

本情報は 5月 9日付けで掲載済みの 「Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを」 の警告情報から「ワームsadmind/IIS」に関する情報をピックアップし、コンテンツを追加して作成掲載しています。

概要

sadmind/IIS worm と呼ばれるワームによるとみられる Web 改ざんインシデントが多発しています。(本件について IPA/ISEC にも 5月中に 93件の被害報告がよせられました。) このワームは、サンマイクロシステムズ社の Solaris サーバーの 1999年12月に公表されたセキュリティホールを攻略して、攻撃ソフトウェアをインストールし、他の Solaris サーバーに自己複製します。 その攻撃ソフトウェアは、2000年11月に公表されたセキュリティホールを解消するフィックス（パッチ）が適用されていないマイクロソフト社の Web サーバー IIS (Internet Information Server) を標的としてホームページを自動的に改ざんします。

対象マシン

• IIS 4.0 または IIS 5.0 を動作しているすべてのマシン
• Solaris 7 まで(含む) の Solaris マシン

対処

• Microsoft社が公開している修正プログラムを適用してください。
  http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-086
  また、上記の MS00-086 を含む累積的な修正プログラムも公表されています。
  http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-026
  
• Sun Microsystems社が公開しているセキュリティ情報を参照してください。
  http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba

セキュリティを高めるための対策 (IIS)
不正な URL に関する脆弱性はたびたび報告されていますが、Web のルート (C:\inetpub\wwwroot など) をシステムのディレクトリ C:\WINNT があるドライブと異なるドライブに設定し(例えば、D:\inetpub\wwwroot)、 このドライブに他のファイルを置かないことによって耐性を高めることができます。

セキュリティを高めるための対策 (Solaris)
RPC (リモートプロシージャコール) の脆弱性は多く報告されています。 インターネット越しに RPC を使う必要がなければルータやファイアーウォール等で 111/tcp, 111/udp をフィルターするようにしてください。

sadmind/IIS ワームの詳細

概略

既知の Solaris への攻撃、IIS への攻撃の 2つを組み合わせて 自己増殖するプログラムの集まりです。

Solaris マシンは攻撃を受けるとワームを構成するプログラム一式が インストールされてしまい、次に、他の Solaris マシンの攻撃用 プログラム、他の IIS マシンの攻撃用のプログラムが実行されます。 攻撃対象は IP アドレスをランダムに選択して行われます。

IIS マシンは攻撃を受けると Web のホームページが書き換えられます。、 scripts 仮想ディレクトリに cmd.exe のコピーの root.exe が作成されます。

痕跡

Solaris マシンでは以下のファイルが作成・修正されます。

/dev/cuc/	ワームのプログラム一式がインストール
/dev/cub/	ワームの作業ディレクトリ
/dev/rc2.d/S71rpc	ワームを起動するコードが追加されます
~root/.rhosts	全ホスト、全ユーザからパスワードなしてアクセスできるように設定されます

また、600/tcp にバックドアが仕掛けられます。このバックドアと root ユーザの .rhosts ファイルの書き換えによりこのホストは 外部からまったく無防備な状態になってしまいます。

IIS マシンでは以下のファイルが作成・修正されます。

index.asp	書き換えまたは作成されます
index.htm	書き換えまたは作成されます
default.asp	書き換えまたは作成されます
default.htm	書き換えまたは作成されます

ワームの自己増殖する機能はほとんどシェルスクリプトを使って書かれて いるため容易に修正可能です。実際、亜種も存在するようです。 よって、その痕跡もまったくこの通りとは限らないことに注意する必要があります。

攻撃

対 Solaris 攻撃

Solaris への攻撃は sadmind というプログラムのバッファオーバーフロー の脆弱性を利用したプログラムを使っています。 sadmind とは、Solstice AdminSuite という製品のコンポーネントで、リモート からシステム管理(ユーザの追加など)をできるようにするものです。 攻撃はまず rpcinfo プログラムで sadmind のサービスが実行されているかを チェックし、実行されていればバッファオーバーフローの脆弱性を突くプログラムで TCP ポート 600 にバックドアを作成します。次にこのバックドアを使って root ユーザの .rhosts ファイルを書き換え、外部からまったく無防備の状態 にします。 次に、rcp でワームを構成するプログラム一式を対象ホストにインストールし、 rsh で対象ホスト上の攻撃プログラムを起動します。

対 IIS 攻撃

IIS の不正な URL に対する脆弱性を突いて、実際には 14種類の攻略を順に実行して Web のホームページを書き換えます。

防御

対対 Solaris 攻撃

1. Solstice AdminSuite を使わなければ、inetd.conf を編集して sadmind サービスを実行しないようにします。
2. Solstice AdminSuite が必要であれば、inetd.conf を編集して sadmind サービスをよりセキュアなモードで実行します。
3. sadmind プログラムのパッチを当てます。
4. ファイアウォールやルータの設定で外部から RPC サービス (sadmind もこれに含まれる) がスキャンされないようにします。実際には 111/tcp を通過しないようにします。

詳細は Sun Security Bulletins Article 191 を参照してください。

対対 IIS 攻撃

1. IIS の脆弱性を塞ぐパッチを当てます。
2. Web コンテンツは専用のドライブに格納します。 (特にシステムがある Cドライブには inetpub を置かない) (万が一、新しい URL の脆弱性が発見されたときに備えて)

参考情報

• CERT Advisory CA-2001-11 sadmind/IIS Worm
  http://www.cert.org/advisories/CA-2001-11.html
• CERT Advisory CA-1999-16 Buffer Overflow in Sun Solstice AdminSuite Daemon sadmind
  http://www.cert.org/advisories/CA-1999-16.html
• JPCERT/CC Alert(sadmind/IIS Worm) 2001-05-10
  Solaris に感染し Microsoft IIS を攻撃するワームに関する注意喚起
  http://www.jpcert.or.jp/at/2001/at010007.txt
• MS00-086:「Web サーバーによるファイル要求の解析」の脆弱性に対する対策
  http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-086

変更履歴

2001年 6月 1日更新

5月中の被害件数を追加

            Copyright © 2001 Information-technology Promotion Agency, Japan. All rights reserved.