2003年7月末の時点で、カリフォルニア州カールスバッドの独立系調査機関であるComputer Economicsは、「Code Red」ワームによって企業がネットワークの損傷から回復し、生産性を失った場合に12億ドル(米国)のコストが生じると見積もりました。推定額は、最近より強力な「Code Red II」ワームがリリースされたことにより、大幅に増加するとみられます。Cisco SAFE Blueprint の主要コンポーネントである Cisco Secure Intrusion Detection System(IDS; セキュア侵入検知システム)は、「Code Red」ワームをはじめとするネットワーク セキュリティのリスクを検知し、これを軽減するという価値を証明してきました。
この文書では、「Code Red」ワームが使用する不正利用方式(下記のシグニチャ 2 を参照)を検知するソフトウェア アップデートについて説明します。
次のカスタム ストリング照合型シグニチャを作成すると、Microsoft Windows NT と Internet Information Services(IIS)4.0 または Windows 2000 と IIS 5.0 を実行している Web サーバに対し、バッファ オーバーフローの不正利用を捕捉することができます。また、Windows XP ベータのインデックス サービスも脆弱であることにも注意してください。この脆弱性に関するセキュリティアドバイザリは、http://www.eeye.com/html/Research/Advisories/AD20010618.html にあります。Microsoftはこの脆弱性に対するパッチをリリースしています。このパッチはhttp://www.microsoft.com/technet/security/bulletin/MS01-033.mspx からダウンロードできます。
このドキュメントで説明されているシグニチャは、シグニチャアップデートリリースS(5)で使用可能になりました。シスコシステムズは、このシグニチャを実装する前に、センサーを 2.2.1.8 または 2.5(1)S3 シグニチャ アップデートにアップグレードすることを推奨しています。登録ユーザは、Cisco Secure Software Centerからこれらのシグニチャアップデートをダウンロードできます。どのユーザでも、「Cisco Worldwide Contacts」に掲載されている連絡先に電子メールを送信、および電話することで、Cisco Technical Support に連絡できます。
このドキュメントに関する固有の要件はありません。
この設定は、次のバージョンのソフトウェアおよびハードウェアを使用して作成と動作確認が行われました。
Microsoft Windows NTおよびIIS 4.0
Microsoft Windows 2000およびIIS 5.0
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
この問題に対処するための、特定のカスタム ストリング照合型シグニチャが 2 種類あります。各シグニチャについて次に説明します。また、適用可能な製品設定についても説明します。
このシグニチャは、シェルコードをサーバへ送り、コードの元の形態で特権アクセスを取得しようとする動きに対処すると同時に、Indexing Server ISAPI Extension へのバッファ オーバーフローの不正利用に対処するためのものです。このシグニチャは、シェルコードをターゲットとなるサービスへ送り、完全なシステム レベルのアクセスを取得しようとする攻撃にのみ対処します。ここで考えられる問題は、このシグニチャは、アタッカーがシェルコードを送ろうとせずに、IIS をクラッシュさせてサービスを拒否状態にするため、サービスに対してバッファ オーバーフローだけを実行する攻撃に対しては対処しないことです。
[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]
回数: 1
ポート:80
注:他のTCPポート(8080など)をリッスンするWebサーバがある場合は、ポート番号ごとに個別のカスタム文字列照合を作成する必要があります。
推奨されるアラーム重要度
高(Cisco Secure Policy Manager)
5(Unix 管理者)
[Direction]:
TO
2 番目のシグニチャは、シェルコードをサーバへ送り、"Code Red" ワームで使用される不明瞭な形態で特権アクセスを取得しようとする動きに対処すると同時に、Indexing Server ISAPI Extension のバッファ オーバーフローの不正利用に対処するためのものです。このシグニチャは、シェルコードをターゲットとなるサービスへ送り、完全なシステム レベルのアクセスを取得しようする攻撃にのみ対処します。ここで考えられる問題は、このシグニチャは、アタッカーがシェルコードを送ろうとせずに、IIS をクラッシュさせてサービスを拒否状態にするため、サービスに対してバッファ オーバーフローだけを実行する攻撃に対しては対処しないことです。
[/]default[.]ida[?][a-zA-Z0-9]+%u
注:上記の文字列に空白は含まれていません。
回数: 1
ポート:80
注:他のTCPポート(8080など)をリッスンするWebサーバがある場合は、ポート番号ごとに個別のカスタム文字列照合を作成する必要があります。
推奨されるアラーム重要度
高(Cisco Secure Policy Manager)
5(Unix 管理者)
[Direction]:
TO
Cisco Secure IDSの詳細は、『Cisco Secure Intrusion Detection』を参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
10-Dec-2001 |
初版 |