Debianサーバ攻撃--未知の脆弱性を突かれたか？

　Debianオペレーティングシステム（OS）プロジェクト・サイトのシステム管理者の話では、最近起きたDebian.orgサーバへの攻撃では、Linuxにある未知のセキュリティ脆弱性が悪用された可能性があるという。

　11月19日（現地時間）に発生したセキュリティ侵害を調査したところ、攻撃者は、一般ユーザーのアカウントでログインした後にDebianサーバのフル権限を奪うという、権限拡大に成功していたことが分かったと、Debianのディストリビューション管理チームの一員、James Troupは述べている。

「権限のないローカルアカウントからルート権限を奪えるような、ローカルのルートにある未知の脆弱性が悪用されたのだと思う」とTroupは28日、Debianメーリングリストへ投稿したメッセージに記している。

　今回攻撃を受けたのは、米Intelベースのハードウェアで稼動していたDebianソフトウェア。米Sun Microsystems製のハードウェアで動いていたシステムには影響がなかったことから、Sunバージョンのソフトウェアには攻撃の恐れはないと推測する向きもある。

　Troupによると、攻撃者はまず盗難パスワードを使ってklecker.debian.orgサーバ上の一般ユーザーのアカウントにログインし、それから完全な管理者（ルート）権限を手に入れた。そしてSuckitというハッカーツールキットをインストールしたという。他の複数のサーバでも同様の手口が使われていた。

　攻撃されたサーバでは、最近のバージョンのLinuxカーネルが稼動しており、セキュリティアップデートもほぼ全てインストールされていた。このことから、攻撃者がまだ未発見の、パッチの存在しない脆弱性を悪用した可能性が強まっている。

　サーバ管理者は、Suckitコードに障害があり、このせいで攻撃を受けたマシンのカーネルに異常が生じたことから、侵入者があったことが分かったと、Troupは述べている。

　攻撃者がどのようにしてDebianサーバをコントロールできるようになったかは、正確には把握できていない。そのためDebianプロジェクトでは、全てのユーザーアカウントを封鎖せざるを得なくなり、現在でもこれを解除できずにいる。

　Troupによると、サーバ管理者らは現在、Debianマシンを1台1台リストアする一方で、攻撃者がアカウント権限を拡大した方法を確定しようとしているという。

　Debianマシンが攻撃された場合の安全確保方法に関する情報は、開発者サイトwiggy.netにあると、Troupは話している。