Ce document explique comment Cisco Secure Intrusion Detection System (IDS) identifie et empêche les attaques du ver Nimda (également connu sous le nom de virus Concept) qui compromettent le serveur Web. Le fonctionnement technique complexe du ver dépasse le cadre de ce bulletin et est bien documenté ailleurs. Une des meilleures descriptions techniques du ver Nimda se trouve dans CERT® Advisory CA-2001-26 Nimda Worm .
Aucune spécification déterminée n'est requise pour ce document.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Le ver Nimda est un ver hybride et un virus qui se propage agressivement sur Internet. Pour comprendre Nimda et les capacités de Cisco IDS à réduire sa propagation, il est important de définir ces deux termes :
Le ver désigne un code malveillant qui se propage automatiquement, sans intervention humaine.
Le virus désigne le code malveillant qui se propage par un type d'intervention humaine, par exemple lorsque vous ouvrez un e-mail, que vous parcourez un site Web infecté ou que vous exécutez manuellement un fichier infecté.
Le ver Nimda est en fait un hybride qui présente les caractéristiques d'un ver et d'un virus. Nimda infecte de multiples façons, dont la plupart nécessitent une intervention humaine. Le capteur d'hôte Cisco IDS bloque les méthodes d'infection de type ver qui se propagent par le biais de vulnérabilités dans Internet Information Server (IIS) de Microsoft. Cisco IDS ne bloque pas les méthodes d'infection manuelle de type virus, telles que lorsque vous ouvrez une pièce jointe de courrier électronique, que vous parcourez un site Web infecté ou que vous exécutez manuellement un fichier infecté.
Le capteur d'hôte Cisco IDS empêche les attaques de Traversée de répertoire, notamment celles utilisées par le ver Nimda. Lorsque le ver tente de compromettre un serveur Web protégé par Cisco IDS, l'attaque échoue et le serveur n'est pas compromis.
Ces règles du capteur d'hôte Cisco IDS empêchent le succès du ver Nimda :
Transfert de répertoire IIS (quatre règles)
Transfert de répertoire IIS et exécution de code (quatre règles)
Traversée du répertoire à codage double hexadécimal IIS (quatre règles)
Cisco IDS Host Sensor se défend également contre les modifications non autorisées du contenu Web, de sorte qu'il ne permet pas au ver de modifier les pages Web afin de se propager à d'autres serveurs.
Cisco IDS est conforme aux meilleures pratiques de sécurité standard pour protéger les serveurs Web contre Nimda. Ces meilleures pratiques imposent de ne pas lire de courriels ou naviguer sur le Web à partir d'un serveur Web de production, et de ne pas ouvrir de partages réseau sur un serveur. Le capteur d'hôte Cisco IDS empêche le serveur Web d'être compromis par des attaques HTTP et IIS. Les meilleures pratiques mentionnées ci-dessus garantissent que le ver Nimda n'arrive pas sur le serveur Web par certains moyens manuels.
Cisco IDS Network Sensor identifie les attaques d'applications Web, notamment celles utilisées par le ver Nimda. Le capteur de réseau peut identifier les attaques et fournir des détails sur les hôtes affectés ou compromis afin d'isoler l'infection Nimda.
Ces alarmes du capteur de réseau Cisco IDS s'allument :
WWW WinNT cmd.exe Access (SigID 5081)
Double décodage CGI IIS (SigID 5124)
Attaque Unicode WWW IIS (SigID 5114)
Attaque par point IIS (SigID 3215)
Attaque par point de point IIS (SigID 3216)
Les opérateurs ne voient pas d'alarme qui identifie Nimda par son nom. Ils voient une série d'alarmes notées alors que Nimda tente différentes exploits pour compromettre la cible. Les alarmes identifient l’adresse source des hôtes qui ont été compromis et qui doivent être isolés du réseau, nettoyés et corrigés.
Procédez comme suit pour vous protéger contre le ver Nimda :
Appliquer les dernières mises à jour pour Microsoft Outlook, Outlook Express, Internet Explorer et IIS disponibles auprès de Microsoft .
Mettez à jour votre logiciel d'analyse de virus avec le dernier correctif pour limiter la propagation du virus.
Remarque : Vous pouvez télécharger la dernière mise à jour antivirus pour protéger votre ordinateur contre les infections. Si votre ordinateur a déjà été infecté, ce correctif antivirus vous permet d'analyser manuellement le disque dur de votre ordinateur et de nettoyer l'infection de la machine.
Déployez Cisco IDS pour limiter la menace, contenir l'infection et protéger les serveurs.