ウイルスバスターCorp.に脆弱性


http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040907/149592/

http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/

毎日チェックしている、セキュリティホール memoさんに「ウイルスバスターCorp.の脆弱性」という記事がありました。
自分はネットワーク管理者&ちょうどCorp.をインストールしてある環境があるという事で実験。

http://************/officescan/tmopp/tmopp.ini

と入力。あ、ファイルダウンロードの画面がでてきた。
というわけで、自分のところも脆弱性の対象みたいです。

screen shot

元記事で「管理コンソールへは誰でもアクセスできてしまうのだろうか」とありますが、ただのIISで動いているhtmlページなので、基本的に誰でもアクセスできます。
トレンドマイクロのページにはアクセス制限でやれって書いてありますね。これ、DHCP環境じゃ意味ないじゃんって思いますが・・・
そもそも、この管理コンソールの設計に問題があると思います。そんな重要なファイルをIISのハブリック上に置くなと。

screen shot

IISの基本認証(Basic認証)をOnにする事で回避できると思ったので、対策してみたのが上記。これならパスワードを入力しないと入れない。
ただ、ドメインだったりすると、やっぱり誰でも入れちゃうけど。
本来であれば、こういうサーバはドメインから外してローカルアカウントにしてあげれば対策しやすいですね。

screen shot

ちなみに管理コンソール画面はこんな感じ。ここからクライアントプログラムをインストールできますし、サーバの設定を変更したりログの確認ができます。

追記:
ただ、このファイルがどれだけ重要かと言われたら微妙なところです。ITProの記事には「ポリシーの裏をかくようなウイルスを作成することが可能」とありますが、社内で利用するのみを考えると、相当会社に恨みでも持っていない限り、この脆弱性を利用する事は無いのでは?と。
ただ、管理コンソールに誰でもアクセスできる事自体は非常にマズいので、ベーシック認証なり制限が必要だと思うのです。上の管理コンソールの初期ページからログインしないとサーバの設定を変更する事はできませんが、クライアントプログラムのインストールはログインしなくてもできてしまいます。
社員が勝手にノートPCを持ち込んで、管理コンソールにアクセスしクライアントプログラムをインストールするという事があるわけですね。むしろそっちのが問題で、知らない間にライセンス超過する可能性もあるわけです。
IISを利用しない管理コンソールプログラムの方はログイン時にパスワード(これはインストール時に決める)が聞かれるので、IISの方もページの表示前にパスワード認証なりつけて欲しいです。IISに頼ったものではなく、独自の物で。

追記 その2:
これ、ベーシック認証つけたら自動アップデートが効かなくなるみたいです。本来ならば、トレンドマイクロのサイトから最新のパターンファイルがサーバにダウンロードされるとクライアントマシンに配信されるのですが、ベーシック認証かけると更新がされなくなるみたいです。
・・・根本的に欠陥だらけなのでは?

コメントを残す

メールアドレスが公開されることはありません。