Este documento explica cómo el Sistema Seguro de Detección de Intrusos (IDS) de Cisco identifica y previene ataques del gusano Nimda (también conocido como el Virus de Concepto contra el servidor Web). El complejo funcionamiento técnico del gusano está fuera del alcance de este boletín y se encuentra documentado en otros materiales. Una de las mejores descripciones técnicas del gusano Nimda puede encontrarse en CERT® Advisory CA-2001-26 Nimda Worm .
No hay requisitos específicos para este documento.
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
El gusano Nimda es un gusano y virus híbridos que se está propagando agresivamente en Internet. Para comprender Nimda y las capacidades de Cisco IDS para mitigar su propagación, es importante definir estos dos términos:
Gusano: se refiere a un código maligno que se propaga automáticamente sin intervención humana.
Virus se refiere al código malicioso que se propaga a través de algún tipo de intervención humana, como cuando se abre un correo electrónico, se navega por un sitio web infectado o se ejecuta manualmente un archivo infectado.
El gusano Nimda es en realidad un híbrido que exhibe características tanto de un gusano como de un virus. Nimda infecta de múltiples maneras, la mayoría de las cuales requieren de la intervención humana. Cisco IDS Host Sensor bloquea los métodos de infección similares a gusanos que se propagan a través de vulnerabilidades en Internet Information Server (IIS) de Microsoft. Cisco IDS no bloquea los métodos de infección manuales similares a los virus, como cuando abre un archivo adjunto de correo electrónico, navega por un sitio web infectado o ejecuta manualmente un archivo infectado.
El sensor de host IDS de Cisco evita los ataques transversales de directorios, que incluyen los que utiliza el gusano Nimda. Cuando el gusano intenta poner en peligro un servidor web protegido con IDS de Cisco, el ataque falla y el servidor no se ve comprometido.
Estas reglas del sensor de host IDS de Cisco impiden el éxito del gusano Nimda:
IIS Directory Traversal (cuatro reglas)
Salto de directorio IIS y Ejecución de código (cuatro reglas)
Salto de directorio IIS con doble codificación hexadecimal (cuatro reglas)
Cisco IDS Host Sensor también defiende contra los cambios no autorizados en el contenido web, por lo que no permite que el gusano modifique las páginas web para propagarse a otros servidores.
Cisco IDS cumple con las mejores prácticas de seguridad estándar para proteger los servidores Web contra Nimda. Estas prácticas recomendadas exigen no leer correo electrónico ni navegar por la Web desde un servidor web de producción, así como no tener redes compartidas abiertas en un servidor. El sensor de host IDS de Cisco evita que el servidor web se vea comprometido a través de ataques HTTP e IIS. Las prácticas recomendadas mencionadas garantizan que el gusano Nimda no llegue al servidor de la Web por algún medio manual.
Cisco IDS Network Sensor identifica ataques de aplicaciones web, entre los que se incluyen los que utiliza el gusano Nimda. El sensor de red puede identificar ataques y proporcionar detalles sobre los hosts afectados o comprometidos para aislar la infección de Nimda.
Este sensor de red IDS de Cisco alarma el incendio:
WWW WinNT cmd.exe Access (SigID 5081)
Decodificación doble de IIS CGI (SigID 5124)
Ataque Unicode WWW IIS (SigID 5114)
Ataque de ejecución punto a punto de IIS (ID de señalización 3215)
Ataque de ejecución punto a punto de IIS (ID de señalización 3216)
Los operadores no ven una alarma que identifique a Nimda por su nombre. Ven una serie de alarmas señaladas mientras Nimda intenta diferentes aprovechamientos para comprometer el objetivo. Las alarmas identifican la dirección de origen de los hosts que se han visto comprometidos y que deben aislarse de la red, limpiarse y parchearse.
Siga estos pasos para protegerse del gusano Nimda:
Aplique las últimas actualizaciones de Microsoft Outlook, Outlook Express, Internet Explorer e IIS disponibles en Microsoft .
Actualice su software de escaneo de virus con el último parche para mitigar el esparcimiento del virus.
Nota: Puede descargar el parche de virus más reciente para proteger su PC de la infección. Si su PC ya ha sido infectado, este parche de virus le permite analizar manualmente el disco duro de su PC y limpiar la infección de la máquina.
Implemente Cisco IDS para mitigar la amenaza, contener la infección y proteger los servidores.