公開日:2005.07.01 08:51 最終更新日:2005.07.14 0:27

TRTA05-180A
VERITAS Backup Exec Remote Agent の脆弱性を対象とする侵害活動

概要


VERITAS Backup Exec Remote Agent の認証リクエスト検証機能の脆弱性(JVNVU#492105)を対象とする攻撃コードが一般に公開されており、そのコードを実際に使用していると思われる活動が報告されています(米 CERT/CC )。

また、JPCERT/CC が運用しているインターネット定点観測システム ISDAS では、TCP 10000 番ポートのスキャンの増加を検出しており、これは上記脆弱性を対象としたものであると考えられます(下記「JPCERT 緊急報告」参照)。

なお、VERITAS 製品では上記以外にも以下のような脆弱性の存在が報告されています(下記「参考情報」参照)。
 VU#352625 - VERITAS Backup Exec Server Service にバッファーオーバーフローの脆弱性
 VU#584505 - VERITAS Backup Exec にリモートからレジストリにアクセスされる脆弱性

既にベンダーから修正パッチが提供されていますので、早急に対処されることを推奨します。


影響を受けるシステム
- Backup Exec for Windows Servers Ver 10.0 およびそれ以前

時系列イベント


日時 (JST)内容
2005-03-16 (米国日付) 「VERITAS Backup Exec Remote Agent の認証要求の確認機能に脆弱性 (VU#492105)」が確認される (by iDEFENSE)
2005-03-18 (米国日付) 「VERITAS Backup Exec Server Remote Registry Access に脆弱性 (VU#584505)」が確認される (by iDEFENSE)
2005-06-22 (米国日付) VERITAS Software Security Advisories VX05-001, VX05-002, VX05-003, VX05-005, VX05-006, VX05-007 をリリース
2005-06-25 "Veritas Backup Exec Agent "CONNECT_CLIENT_AUTH" Request Exploit" が公開される
#Cid: 20050625.backupexec_agent.pm
2005-06-26 (米国日付) US-CERT Current Activity として Exploit for Vulnerability in VERITAS Backup Exec Remote Agent を報告
2005-06-27 (米国日付) SANS Institute Port 10000 を報告
2005-06-28 14:33 ベリタスソフトウェア J277428 - Backup Exec for Windows Servers および Backup Exec for NetWare Servers のセキュリティ勧告について を Web 公開
#Last-Modified: Tue, 28 Jun 2005 05:33:41 GMT
2005-06-28 16:47 JPCERT/CC ISDAS TCP 10000 アクセス元地域別グラフ を Web 公開
#Last-Modified: Tue, 28 Jun 2005 07:47:06 GMT
2005-06-28 17:02 JPCERT/CC VERITAS Backup Exec に含まれる脆弱性に関する注意喚起 を Web 公開
#Last-Modified: Tue, 28 Jun 2005 08:02:13 GMT
2005-06-30 04:02 US-CERT メーリングリスト経由で TA05-180A が届く
#Post-Date: Wed, 29 Jun 2005 15:02:18 -0400
2005-07-01 11:28 ISSKK Veritas Backup Exec エージェントの悪用 を Web 公開
#Last-Modified: Fri, 01 Jul 2005 02:28:35 GMT
2005-07-07 21:07 @police TCP6101番ポートに対するアクセスの増加について(7/7) を Web 公開

参考情報


  1. Technical Cyber Security Alert TA05-180A
    VERITAS Backup Exec Software is actively being exploited
  2. Vendor Status Note JVNTA05-180A
    VERITAS Backup Exec Remote Agent の脆弱性を対象とする侵害活動