A fines de julio de 2003, Computer Economics (una empresa de investigación independiente de Carlsbad, CA) estimó que el costo incurrido por las empresas para reparar los daños producidos a la red y la pérdida de productividad provocados por el gusano “Code Red” ascendía a $1200 millones de dólares estadounidenses. Esta estimación aumentó significativamente con la posterior liberación del más potente gusano "Code Red II". El Sistema de seguridad de detección de intrusos de Cisco (IDS), un componente clave del plano SAFE de Cisco, ha demostrado su valor a la hora de detectar y mitigar riesgos de seguridad de la red, entre ellos el gusano “Code Red”.
Este documento describe una actualización de software para detectar el método de explotación utilizado por el gusano “Código rojo” (vea Firma 2 abajo).
Puede crear las firmas de coincidencia de cadena personalizadas que se muestran a continuación para detectar la explotación de un desbordamiento de búfer para servidores Web que ejecutan Microsoft Windows NT e Internet Information Services (IIS) 4.0 o Windows 2000 e IIS 5.0. Además, observe que el servicio de indexación en Windows XP beta también es vulnerable. El aviso de seguridad que describe esta vulnerabilidad se encuentra en http://www.eeye.com/html/Research/Advisories/AD20010618.html. Microsoft ha lanzado un parche para esta vulnerabilidad que se puede descargar de http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx.
Las firmas que se describen en este documento están disponibles en la versión de actualización de firmas S(5). Cisco Systems recomienda que los sensores se actualicen a la versión 2.2.1.8 o a la versión 2.5(1)S3 antes de implementar esta firma. Los usuarios registrados pueden descargar estas actualizaciones de firmas desde Cisco Secure Software Center. Todos los usuarios pueden contactarse con el Soporte técnico de Cisco por correo electrónico y por teléfono a través de los contactos mundiales de Cisco.
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software:’
Microsoft Windows NT e IIS 4.0
Microsoft Windows 2000 e IIS 5.0
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
For more information on document conventions, refer to the Cisco Technical Tips Conventions.
Existen dos firmas de coincidencia de cadena personalizadas específicas para solucionar este problema. A continuación se describe cada firma y se proporciona la configuración del producto correspondiente.
Esta firma activa un intento de desbordamiento de la memoria intermedia en la extensión ISAPI del servidor de índices combinado con un intento de pasar un código shell al servidor para obtener acceso privilegiado en la forma original del código. La firma sólo se activa para intentar pasar el código shell al servicio objetivo y obtener acceso total al nivel del SISTEMA. Un problema posible es que esta firma no dispara si el atacante no intenta pasar algún código shell, pero sólo ejecuta el desbordamiento de la memoria intermedia contra el servicio en un intento de bloquear el IIS y crear un rechazo del servicio.
[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]
Eventos: 1
Puerto: 80
Nota: Si tiene servidores Web que escuchan en otros puertos TCP (por ejemplo, 8080), debe crear una cadena de caracteres personalizada independiente para cada número de puerto.
Nivel de gravedad de alarma recomendado:
Alto (Cisco Secure Policy Manager)
5 (UNIX Director)
Dirección:
A
La segunda firma se activa en un intento de desbordamiento de búfer en la extensión ISAPI del servidor de indexación combinado con un intento de pasar código shell al servidor para obtener acceso privilegiado en la forma desordenada que utiliza el gusano "Código rojo". Esta firma sólo se activa cuando se intenta pasar código shell al servicio de destino para obtener acceso completo a nivel del SISTEMA. Un problema posible es que esta firma no dispara si el atacante no intenta pasar algún código shell, pero sólo ejecuta el desbordamiento de la memoria intermedia contra el servicio en un intento de bloquear el IIS y crear un rechazo del servicio.
[/]default[.]ida[?][a-zA-Z0-9]+%u
Nota: No hay espacios en blanco en la cadena anterior.
Eventos: 1
Puerto: 80
Nota: Si tiene servidores Web que escuchan en otros puertos TCP (por ejemplo, 8080), debe crear una cadena de caracteres personalizada independiente para cada número de puerto.
Nivel de gravedad de alarma recomendado:
Alto (Cisco Secure Policy Manager)
5 (UNIX Director)
Dirección:
A
Para obtener más información sobre Cisco Secure IDS, consulte Cisco Secure Intrusion Detection.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
10-Dec-2001 |
Versión inicial |