chkrootkit の slapper() 関数の実装に起因する権限昇格の脆弱性(Scan Tech Report)
chkrootkit には、slapper() 関数の実装に起因して、権限昇格が可能な脆弱性が存在します。
脆弱性と脅威
エクスプロイト
chkrootkit には、slapper() 関数の実装に起因して、権限昇格が可能な脆弱性が存在します。
システムにアクセス可能なローカルの悪意あるユーザに利用された場合、root 権限を取得され、システムを完全に制御される可能性があります。
脆弱性を悪用された場合の影響度が高いため、影響を受けるバージョンの chkrootkit を利用するユーザは可能な限り以下の対策を実施することを推奨します。
2.深刻度(CVSS)
CVE-ID 未割り当てのため、現状なし
3.影響を受けるソフトウェア
chkrootkit 0.49 以前
※1 影響を受けるバージョンの chkrootkit パッケージが含まれる Debian,Ubuntu などの Linux ディストリビューションにおいても、この脆弱性の影響を受けます
4.解説
chkrootkit は、SuckIT や Slapper※2 などの rootkit がシステムに組み込まれていないかチェックするためのツールであり、通常は root ユーザで実行されます。
chkrootkit には、Slapper ワームのチェックを行う slapper() 関数の実装に不備があります。
このため、chkrootkit 実行時に、/tmp ディレクトリ下にある update (/tmp/update) や httpd (/tmp/httpd) などの特定のファイルを root 権限で実行してしまう脆弱性が存在します。
この脆弱性を利用することでシステムにアクセス可能なローカルの攻撃者は、root に権限昇格を行い、当該権限で任意のコマンドが実行可能となります。
但し、/tmp ディレクトリを noexec オプション (バイナリの実行禁止) を指定してマウントする環境は、この脆弱性の影響を受けません。
※2 OpenSSL の脆弱性 (CVE-2002-0656) を悪用して、Apache HTTP Server に感染を拡大させるワームであり、/tmp ディレクトリ下に自身のコピーを作成します。
5.対策
以下の Web サイトより、chkrootkit 0.50 以降を入手しアップデートするこ
とで、この脆弱性を解消することが可能です。
chkrootkit 0.50:
http://www.chkrootkit.org/download/
また、Linux ディストリビューションにおいては、それぞれのベンダが提供す
るセキュリティアドバイザリを参考に、適切な chkrootkit パッケージを入手
しアップデートすることで、この脆弱性を解消することが可能です。
・Debian
CVE-2014-0476
https://security-tracker.debian.org/tracker/CVE-2014-0476
・Fedora
chkrootkit-security update
https://admin.fedoraproject.org/updates/chkrootkit-0.49-9.fc19
https://admin.fedoraproject.org/updates/chkrootkit-0.49-9.fc20
・Ubuntu
CVE-2014-0476
http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0476.html
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下
保険契約の申し込みや更新を処理するコストの低下を追求するあまり、保険会社は不正確な査定を行い、さらにはプライバシーを侵害するという最悪の方向に向かっているようだ。
-
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。
-
Non State Actor 図鑑(4)世界 2 位は GDP だけではない ~ QAnon 帝国ドイツ
新しい暴力の形としてノン・ステート・ウォーが増えている。ハッキングやデジタル影響工作など新しい攻撃方法が幅広く用いられており、全領域での戦いとなっている。そして、戦闘の担い手の多くは民間企業である。日本も例外ではない。日本は軍事に関しては敏感だがそれ以外は寛容だ。