Ende Juli 2003 schätzte Computer Economics (eine unabhängige Forschungsorganisation in Carlsbad, Kalifornien), dass der Wurm "Code Red" Unternehmen 1,2 Milliarden US-Dollar (US-Dollar) gekostet hat, um sich von Netzwerkschäden zu erholen und die Produktivität zu verringern. Diese Schätzung stieg mit der anschließenden Veröffentlichung des stärkeren "Code Red II"-Wurms deutlich an. Das Cisco Secure Intrusion Detection System (IDS), eine Schlüsselkomponente des Cisco SAFE Blueprint, hat seinen Nutzen bei der Erkennung und Eindämmung von Netzwerksicherheitsrisiken, einschließlich des "Code Red"-Wurms, unter Beweis gestellt.
Dieses Dokument beschreibt ein Software-Update zur Erkennung der vom Wurm "Code Red" verwendeten Exploit-Methode (siehe Signatur 2 unten).
Sie können die unten gezeigten benutzerdefinierten Zeichenfolgenübereinstimmungssignaturen erstellen, um die Ausnutzung eines Pufferüberlaufs für Webserver abzufangen, auf denen Microsoft Windows NT und Internetinformationsdienste (IIS) 4.0 oder Windows 2000 und IIS 5.0 ausgeführt werden. Beachten Sie auch, dass der Indexdienst in Windows XP Beta auch verwundbar ist. Die Sicherheitsempfehlung, die diese Schwachstelle beschreibt, finden Sie unter http://www.eeye.com/html/Research/Advisories/AD20010618.html. Microsoft hat einen Patch für diese Sicherheitslücke veröffentlicht, der von http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx heruntergeladen werden kann.
Die in diesem Dokument beschriebenen Signaturen sind ab der Signatur-Update-Version S(5) verfügbar. Cisco Systems empfiehlt, vor der Implementierung dieser Signatur ein Upgrade der Sensoren auf 2.2.1.8 oder 2.5(1)S3 Signatur durchzuführen. Registrierte Benutzer können diese Signatur-Updates vom Cisco Secure Software Center herunterladen. Alle Benutzer können den technischen Support von Cisco per E-Mail und telefonisch über die weltweiten Kontakte von Cisco kontaktieren.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basieren auf den folgenden Softwareversionen:
Microsoft Windows NT und IIS 4.0
Microsoft Windows 2000 und IIS 5.0
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Es gibt zwei spezifische Signaturen für benutzerdefinierte Zeichenfolgenentsprechungen, um dieses Problem zu beheben. Jede Signatur wird unten beschrieben, und die entsprechenden Produkteinstellungen werden bereitgestellt.
Diese Signatur wird bei einem versuchten Pufferüberlauf auf der ISAPI-Erweiterung des Indexservers ausgelöst, verbunden mit dem Versuch, Shell-Code an den Server zu übergeben, um privilegierten Zugriff in der ursprünglichen Form des Codes zu erhalten. Die Signatur wird nur ausgelöst, wenn versucht wird, Shell-Code an den Zieldienst zu übergeben, um vollständigen Zugriff auf SYSTEMEBENE zu erhalten. Ein mögliches Problem besteht darin, dass diese Signatur nicht ausgelöst wird, wenn der Angreifer nicht versucht, Shell-Code zu übergeben, sondern nur den Pufferüberlauf gegen den Dienst ausführt, um IIS zum Absturz zu bringen und ein Denial of Service zu erstellen.
[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]
Vorkommen: 1
Port: 80
Hinweis: Wenn Webserver andere TCP-Ports überwachen (z. B. 8080), müssen Sie für jede Port-Nummer eine eigene benutzerdefinierte Zeichenfolgenentsprechung erstellen.
Empfohlener Alarm-Schweregrad:
Hoch (Cisco Secure Policy Manager)
5 (Unix Director)
Richtung:
ZU
Die zweite Signatur löst einen versuchten Pufferüberlauf auf der ISAPI-Erweiterung des Indexservers aus, verbunden mit dem Versuch, Shell-Code an den Server zu übergeben, um privilegierten Zugriff in der verschleierten Form zu erhalten, die der Wurm "Code Red" verwendet. Diese Signatur wird nur ausgelöst, wenn versucht wird, Shell-Code an den Zieldienst zu übergeben, um vollständigen Zugriff auf SYSTEMEBENE zu erhalten. Ein mögliches Problem besteht darin, dass diese Signatur nicht ausgelöst wird, wenn der Angreifer nicht versucht, Shell-Code zu übergeben, sondern nur den Pufferüberlauf gegen den Dienst ausführt, um IIS zum Absturz zu bringen und ein Denial of Service zu erstellen.
[/]default[.]ida[?][a-zA-Z0-9]+%u
Hinweis: Die Zeichenfolge enthält keine Leerzeichen.
Vorkommen: 1
Port: 80
Hinweis: Wenn Webserver andere TCP-Ports überwachen (z. B. 8080), müssen Sie für jede Port-Nummer eine eigene benutzerdefinierte Zeichenfolgenentsprechung erstellen.
Empfohlener Alarm-Schweregrad:
Hoch (Cisco Secure Policy Manager)
5 (Unix Director)
Richtung:
ZU
Weitere Informationen zu Cisco Secure IDS finden Sie unter Cisco Secure Intrusion Detection.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
10-Dec-2001 |
Erstveröffentlichung |