BIND のセキュリティホールをついたワームが登場

SANS Institute の Global Incident Analysis Center (GIAC) による と、DNS サーバーの『BIND』が稼働している Linux マシンを狙った新しいワームがインターネット中で急速に広まっ ており、重大な被害を与える可能性があるという。

GIAC は22日遅くに、このワームについて発表した。GIAC は、ワームが脆弱性の残っている BIND サーバーを探す、ス キャン動作を、過去2日間でおよそ49000回記録した。ワームは中国のクラッカー連中が作成した可能性がある。

ワームには、『Lion』と名前がついた。これは1月に、Red Hat Linux 6.2 および 7.0 が稼動しているコンピュータ に侵入したワームの『Ramen』に類似している。

GIAC は23日に出した警告の中で「似ているとはいっても、Lion のほうがずっと危険で、真剣に対応しなければならな い」と書いている。

危険だとする理由は、Lion がパスワードファイルや設定ファイルを、china.com ドメインのメールアドレス宛てに、E メールで送信するからだ。

ダートマス大学のリサーチエンジニア、William Stearns 氏は「Lion が、パスワードファイルや設定ファイルを送り 返すことによって、攻撃者は最初にワームを使ってシステムを攻撃した際に利用したセキュリティホールに加えて、そ れとは別の再び侵入する手段が手に入る。これが Ramen とは異なるところだ」と語る。

さらに同氏は「Ramen はといえば、システムに侵入した際に攻撃したセキュリティホールを塞いでくれる、という点で は実に行儀が良かった。Lion は、セキュリティホールを開けたままにして、さらに別のセキュリティホールを開ける。 Lion に侵入されたと気付いた時点で、システムを救い出そうと試みるだけの価値があるとは、言い切れない。データだ けを取り出して、ディスクを再フォーマットするところからシステムを構築しなおすほうが、ずっとましかもしれな い」と語った。

Lion は、1月29日に CERT/CC が公開した、 BIND8 の電子署名 (TSIG) 処理コードに見つ か った脆弱性を利用して、侵入を果たす。この脆弱性のある BIND のバージョンは、8.2、8.2-P1、8.2.1、8.2.2- Px、および 8.2.3-beta の全バージョン。

Lion は、完全に侵入を果たすと、他の犠牲者を求めてインターネットを調べ始める。

Stearns 氏は、Lion が侵入しているかを調べることができる、『Lionfind』というスクリプトを作成した。 Lionfind は、SANS のサイトに置いてある。 Lionfind の現バージョンは、感染したシステムからワームを削除することはできない。

同氏は、Lion の感染数は Ramen の感染数よりも少ないだろうが、感染してしまったら、 いろんな意味でかなり高くつくとも述べた。 なお少ないという理由は、 単に DNS が稼動しているシステムは全体数に比べて少ないからというだけのことだ。