Symantec製品の脆弱性狙うトラフィックが再び急増

2968番ポートのトラフィック激増をSANSが報告。このポートはSymantecウイルス対策製品のNetwareサーバ版が利用している。

[ITmedia]

　Symantecのウイルス対策製品が利用しているポートのトラフィックが激増していると、SANS Internet Storm Centerが1月10日、サイトで警告した。

　SANSのサイトに掲載されたグラフでは、1月7日から8日ごろにかけて2968番ポートのトラフィックが激増している様子が示されている。

　これは、Symantecのウイルス対策製品「Symantec AV 10.1」の脆弱性を突いた攻撃と関係があるかもしれないとSANSは指摘する。12月にはこの脆弱性を突いたSAVワームが原因で、Windows版のSymantec AVが利用している2967番ポートのトラフィック急増が報告されていた。

　Symantecのサイトに掲載された情報によれば、2968番ポートを利用しているのはNetwareサーバで動作するAVのみ。ほかのホストがすべて悪用済みだからNetwareサーバが標的となっているのか、あるいはSymantec AVがバックアップポートとして2968番を使っていることが理由なのかは、現時点では不明だという。

　なお、問題の脆弱性はセキュリティ企業のeEyeが昨年5月に発見し、Symantecが同6月にパッチを公開している。