セキュリティ : Cisco IPS 4200 シリーズ センサー

IIS 4.0 および 5.0 の Microsoft インデックス サーバ ISAPI 拡張における「Code Red」ワームのリモート バッファ オーバーフローに対する シスコ Secure IDS/Netranger カスタム ストリング照合型シグニチャの使用

2002 年 10 月 31 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 6 月 24 日) | フィードバック

目次


概要

Computer Economics 社(カリフォルニア州 Carlsbad の独立系調査組織)は 7 月末現在、「Code Red」ワームが原因で企業にネットワークの損害の回復や生産性の損失などにかかったコストは、12 億 US ドルにのぼると推定しています。推定額は、最近より強力な「Code Red II」ワームがリリースされたことにより、大幅に増加するとみられます。Cisco SAFE Blueprint の主要コンポーネントである Cisco Secure Intrusion Detection System(IDS; セキュア侵入検知システム)は、「Code Red」ワームをはじめとするネットワーク セキュリティのリスクを検知し、これを軽減するという価値を証明してきました。

この文書では、「Code Red」ワームが使用する不正利用方式(下記のシグニチャ 2 を参照)を検知するソフトウェア アップデートについて説明します。

次のカスタム ストリング照合型シグニチャを作成すると、Microsoft Windows NT と Internet Information Services(IIS)4.0 または Windows 2000 と IIS 5.0 を実行している Web サーバに対し、バッファ オーバーフローの不正利用を捕捉することができます。また、Windows XP ベータのインデックス サービスも脆弱であることにも注意してください。この脆弱性を解説したセキュリティに関する助言が http://www.eeye.com/html/Research/Advisories/AD20010618.html leaving cisco.com に掲載されています。 Microsoft はこの脆弱性に対するパッチをリリースしました。このパッチは次のリンクからダウンロードできます。 http://www.microsoft.com/technet/security/bulletin/MS01-033.asp  leaving cisco.com

この文書で説明するシグニチャは、近日中にリリースされるシグニチャ アップデート(シグニチャ リリース S (5))に含まれる予定です。シスコシステムズは、このシグニチャを実装する前に、センサーを 2.2.1.8 または 2.5(1)S3 シグニチャ アップデートにアップグレードすることを推奨しています。登録ユーザは、次の Web ページからこれらのシグニチャをダウンロードできます。 IDS 暗号化 ソフトウェアの Cisco Software Center また、どのユーザでも、「Cisco Worldwide Contacts」に掲載されている宛先に電子メールを送信するか、電話することによって、Technical Assistance Center に連絡できます。

注:弊社とのサポート契約がないお客様は、製品をご購入いただきました販売店経由でお問い合わせください。

カスタム ストリング照合型シグニチャ

この問題に対処するための、特定のカスタム ストリング照合型シグニチャが 2 種類あります。各シグニチャについて次に説明します。また、適用可能な製品設定についても説明します。

シグニチャ 1 - 不正利用目的によるインデックス サーバへのアクセスの試み

このシグニチャは、シェルコードをサーバへ送り、コードの元の形態で特権アクセスを取得しようとする動きに対処すると同時に、Indexing Server ISAPI Extension へのバッファ オーバーフローの不正利用に対処するためのものです。このシグニチャは、シェルコードをターゲットとなるサービスへ送り、完全なシステム レベルのアクセスを取得しようとする攻撃にのみ対処します。ここで考えられる問題は、このシグニチャは、アタッカーがシェルコードを送ろうとせずに、IIS をクラッシュさせてサービスを拒否状態にするため、サービスに対してバッファ オーバーフローだけを実行する攻撃に対しては対処しないことです。

ストリング

    "[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]"

製品設定

  • 発生:
      1
  • ポート:
      80

注:別のTCP ポート(8080 など)を受信している Web サーバが存在する場合、ポート番号ごとに個別のカスタム ストリング照合型を作成する必要があります。

  • 推奨されるアラーム重要度
      高(CSPM)
      5(Unix 管理者)
  • 方向:
      送信

シグニチャ 2 - 「Code Red」ワームによるインデックス サーバ アクセス バッファ オーバーフロー

2 番目のシグニチャは、シェルコードをサーバへ送り、"Code Red" ワームで使用される不明瞭な形態で特権アクセスを取得しようとする動きに対処すると同時に、Indexing Server ISAPI Extension のバッファ オーバーフローの不正利用に対処するためのものです。このシグニチャは、シェルコードをターゲットとなるサービスへ送り、完全なシステム レベルのアクセスを取得しようする攻撃にのみ対処します。ここで考えられる問題として、アタッカーがシェルコードを送らずに、サービスに対してバッファ オーバーフローの実行を試みることで、IIS のクラッシュとサービス拒否攻撃を起こそうとした場合、このシグニチャが攻撃しない可能性があげられます。

ストリング

    "[/]default[.]ida[?][a-zA-Z0-9]+%u"

注: 上記ストリングには、スペースを挿入しません。

製品設定

  • 発生:
      1
  • ポート:
      80

注:別の TCP ポート(8080 など)を受信している Web サーバが存在する場合、ポート番号ごとに個別のカスタム ストリング照合型を作成する必要があります。

  • 推奨されるアラーム重要度
      高(CSPM)
      5(Unix 管理者)
  • 方向:
      送信

シスコの IDS の詳細は、シスコ セキュア侵入検出製品ページにアクセスしてください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13870