「pcAnywhere」をクラッシュさせるとされるエクスプロイト・コードが公開
pcAnywhereの新たな脆弱性を発見した研究者が、DoS攻撃に使用可能なコードを作成米国SymantecのPCリモート・コントロール・ソフトウェア「pcAnywhere」で新たに見つかった脆弱性を突くエクスプロイト・コードがインターネットで公開された。pcAnywhereの機能を妨害する攻撃を可能にするものとされている。
このエクスプロイト・コードは、ネットワーク・セキュリティ・ベンダーの米国Alert Logicでセキュリティ・リサーチ・ディレクターを務めるジョナサン・ノーマン(Johnathan Norman)氏が2月17日、テキスト共有サイト「Pastebin」で公開した。このコードは、「awhost32」というpcAnywhereの重要なサービスをクラッシュさせるために使用可能だという。
ノーマン氏は、攻撃者がこのエクスプロイト・コードでawhost32をクラッシュさせても、それによるサービス妨害(DoS)状態が持続することはないとしている。awhost32プロセスは自動的に再起動されるからだ。このため、攻撃者が妨害を長時間継続するには、このコードを繰り返し実行する必要がある。
Symantecは先月、pcAnywhereの重大なリモート・コード実行の脆弱性を修正するパッチを公開しており、ノーマン氏はこの脆弱性を調査する中で、今回のエクスプロイト・コードで使用しているものを含むいくつかの脆弱性を発見したとしている。「これらすべての脆弱性をどう扱うかはまだわからない」と、同氏は2月17日にブログで述べている。
ノーマン氏は、このエクスプロイト・コードは、すべてのパッチを適用済みのpcAnywhereに対しても機能するとしている。「Symantecは、この公開コードの存在を認識しており、作者の主張について調査中だ」と、Symantecの広報担当者は電子メールで述べた。現時点で同社からそれ以上の情報は提供されていない。
pcAnywhereを巡っては、2月初めにハッカー集団の「Anonymous」とつながりがあるハッカーが、同ソフトウェアのソースコードをインターネットに流出させるという事件があった。
Symantecは1月、pcAnywhereのソースコードが盗まれたことを受け、「既知の脆弱性リスクを修正するソフトウェア・アップデート群がリリースされるまでの間、SymantecはpcAnywhereの使用を中止することを推奨する」との声明を発表。1月27日までに、pcAnywhereの各バージョンの脆弱性を解消するパッチを公開している。
だが、ソースコードの流出は、理論上、新たな脆弱性の発見につながる可能性がある。情報セキュリティ研修サービスを提供する米国InfoSec InstituteのWebページで、2月17日付けで匿名で公開されたpcAnywhereのソースコード・ファイルおよびドキュメントの分析報告では、pcAnywhereは何年もの間、大幅な変更は加えられていないと指摘されている。pcAnywhereの現行版は、古いコード・ベースを書き換えずに、そのまま継続的に使用してきたものである可能性がある。
なお、SymantecはpcAnywhereソースコードの盗難、流出と同社の対応に関する情報提供ページ「Claims by Anonymous about Symantec Source Code」(シマンテックのソースコードに関するアノニマスの主張について)を開設し、最新情報を随時公開している。
(Lucian Constantin/IDG News Serviceルーマニア支局)
