ファイヤーウォールソフトを狙うワーム

投稿日:

なんと、システムを防護するファイヤーウォールソフト「BlackICE」を標的にしたワームがでてきちゃったみたいです。

「RealSecure」や「BlackICE」などISS製品に深刻な脆弱性 [ITmedia]

この脆弱性は、米eEye Digital Securityが発見したもの。脆弱性検査製品「Internet Scanner」以外のすべてのISS製品が搭載しているProtocol Analysis Module(PAM)コンポーネントのうち、ICQのレスポンスを解析するルーチンに、バッファオーバーフローの脆弱性が存在する。攻撃者がこれを悪用すれば、BlackICEなどがインストールされた環境で、リモートから任意のコードを実行される恐れもある。

ISS製品の脆弱性を狙うワーム「Witty」登場 [ITmedia]

このワームは、ISSの「BlackICE」や「RealSecure」などに存在するPAM/ICQルーチンの脆弱性を悪用したもの。ISC(Internet Storm Center)やSymantecの報告によれば、Wittyはひとたび感染すると、発信元ポートはUDP/4000、送信先ポートは無作為のパケットを、複数のIPアドレスに対して大量に送信する。

ワタシゃBlackICE使ってない(Norton Internet Securityを使ってる)&ハードウェアファイヤーウォールと併用してますんで直接の関係はないんですが、ちょっとビックリ。結構スゴイとこ衝いて来ましたね。

Wittyワーム、急拡散後に威力衰え [ITmedia]

「最終的にマシンをクラッシュさせるため、(このワームも)非常に速く消滅した」と同氏。同氏の推定では、このワームに感染したコンピュータは3月20日までに約3万台に上り、その大半は感染から30分以内にファイルの損傷が原因でクラッシュした。しかし22日までには急激な拡散は止み、同センターでは危険度レベルをイエローからグリーンに落とした。

むぅ〜…。

ウイルスは、感染出来る母体がないと生存出来ない

あまりに強力な(=宿主を即殺してしまうような)ウイルスは大繁殖する事ができない

ということ(このため、軍事用生物兵器は「潜伏期間が長い事」が要求性能に入る場合がある)なんですが、この論理爆弾の急速な作動(=毒性の強さ)が感染を急速に終わらせちゃうってのは、「それが作者の狙いだった」ってことなんでしょうね。

兵器的に使おうとするなら、劇的に効果を発揮してそのまま消えてくれる兵器が一番→「永遠に生き延びさせる事」を願わない、時限装置付きのウイルスプログラムは全然珍しくないんで。


Symantec Norton Internet Securityに任意のコードが実行できる脆弱性 [Broadband Watch]

この脆弱性は、Norton Internet Security 2004などに含まれる、ActiveXコンポーネントが原因。このActiveXコンポーネントが、外部からの入力データの境界チェックを適切に行なわないために発生する。攻撃者が細工を施したWebサイトやHTMLメールを作成した場合、ユーザーがこのWebサイトやHTMLメールを閲覧しただけで任意のコードを実行される可能性があるという。

(中略)

同社によると、修正パッチは現在開発中であり、Norton Internet Security 2004/Professional for Windows用のパッチは4月8日から、Symantec Norton AntiSpam 2004用のパッチは4月19日より、LiveUpdateで提供すると発表している。

とほほほ、Nortonもダメでした(^_^;) パッチの提供まではNIS以外の手段でシステムを防護する必要がありそうです。

BlackICEの場合と違ってActiveXの脆弱性→「このポートを塞げば大丈夫!」みたいのがないので、どーも「怪しいサイトやメールを開かない」くらいしか実効性のある対策が無いみたい。とほほ。


結局、NISの修正パッチは予定よりも随分早い3/30にりリースされました。こっちも途方に暮れてたけど、メーカーさん側も余程焦ったんでしょうなぁ(^^;;