IIS 4.0 및 5.0의 Microsoft Index Server ISAPI Extension에서 "Code Red" WORM 원격 버퍼 오버플로에 대한 Cisco Secure IDS/NetRanger 사용자 지정 문자열 일치 서명 사용

다운로드 옵션

  • PDF     (147.3 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (95.3 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (81.5 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2008년 6월 24일 (화)
문서 ID:13870

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

2003년 7월 말, Computer Economist(CA Carlsbad의 독립 연구 기관)는 "Code Red(코드 레드)" 지렁이(Code Red)"가 네트워크 손상 및 생산성 손실 복구 시 기업에서 12억 달러의 비용을 부담하는 것으로 추정했습니다.이 추정은 더 강력한 "코드 레드 II" 벌레의 후속 릴리스와 함께 상당히 상승했습니다.Cisco SAFE Blueprint의 핵심 구성 요소인 Cisco IDS(Secure Intrusion Detection System)는 "Code Red(코드 레드)" WORM을 비롯한 네트워크 보안 위험을 탐지하고 완화하는 데 있어 그 가치를 입증했습니다.

이 문서에서는 "Code Red(코드 레드)" worm에서 사용하는 익스플로잇 방법을 탐지하기 위한 소프트웨어 업데이트에 대해 설명합니다(아래 서명 2 참조).

아래에 표시된 사용자 지정 문자열 일치 서명을 만들어 Microsoft Windows NT 및 IIS(인터넷 정보 서비스) 4.0 또는 Windows 2000 및 IIS 5.0을 실행하는 웹 서버에 대한 버퍼 오버플로를 catch할 수 있습니다. Windows XP 베타의 인덱싱 서비스도 취약합니다.이 취약성을 설명하는 보안 권고 사항은 http://www.eeye.com/html/Research/Advisories/AD20010618.html에 있습니다 icon_popup_short.gif.Microsoft는 http://www.microsoft.com/technet/security/bulletin/MS.01-033.mspx에서 다운로드할 수 있는 이 취약성에 대한 패치를 릴리스했습니다 icon_popup_short.gif.

이 문서에서 설명한 서명은 서명 업데이트 릴리스 S(5)에서 사용할 수 있게 되었습니다. Cisco Systems는 이 서명을 구현하기 전에 센서를 2.2.1.8 또는 2.5(1)S3 서명 업데이트로 업그레이드할 것을 권장합니다.등록된 사용자는 Cisco Secure Software Center에서 이러한 서명 업데이트를 다운로드할 수 있습니다.모든 사용자는 Cisco Worldwide Contacts를 통해 이메일 및 전화로 Cisco 기술 지원에 문의할 수 있습니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

  • Microsoft Windows NT 및 IIS 4.0

  • Microsoft Windows 2000 및 IIS 5.0

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

사용자 지정 문자열 일치 서명

이 문제를 해결하기 위한 두 가지 특정 사용자 지정 문자열 일치 서명이 있습니다.각 서명은 아래에 설명되어 있으며 적용 가능한 제품 설정이 제공됩니다.

서명 1 — 익스플로잇 시도가 시도된 인덱스 서버 액세스

이 시그니처는 인덱스 서버 ISAPI 확장에서 버퍼 오버플로를 시도하여 셸 코드를 서버에 전달하여 원래 형식의 코드에 대한 액세스 권한을 얻으려는 시도와 결합됩니다.서명은 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스에 전달하려는 시도에서만 발생합니다.한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 충돌시키고 서비스 거부를 만들기 위해 서비스에 대해 버퍼 오버플로를 실행하면 이 서명이 실행되지 않는다는 것입니다.

문자열 

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

제품 설정

  • 발생:1

  • 포트:80

참고: 웹 서버가 다른 TCP 포트(예: 8080)에서 수신하는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.

  • 권장 경보 심각도 수준:

    • 높음(Cisco Secure Policy Manager)

    • 5(Unix 디렉터)

  • 방향:

    받는 사람

서명 2 — 인덱스 서버 액세스 버퍼 오버플로 "코드 레드" WORM

두 번째 시그니처는 인덱싱 서버 ISAPI 확장에서 시도된 버퍼 오버플로에 대해 발생하며, 셸 코드를 서버에 전달하여 "코드 레드" WORM에서 사용하는 난독 형식의 특권 액세스를 얻으려고 합니다.이 서명은 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스에 전달하려는 시도에서만 발생합니다.한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 충돌시키고 서비스 거부를 만들기 위해 서비스에 대해 버퍼 오버플로를 실행하면 이 서명이 실행되지 않는다는 것입니다.

문자열 

[/]default[.]ida[?][a-zA-Z0-9]+%u

참고: 위 문자열에 공백이 없습니다.

제품 설정

  • 발생:1

  • 포트:80

참고: 웹 서버가 다른 TCP 포트(예: 8080)에서 수신하는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.

  • 권장 경보 심각도 수준:

    • 높음(Cisco Secure Policy Manager)

    • 5(Unix 디렉터)

  • 방향:

    받는 사람

Cisco Secure IDS에 대한 자세한 내용은 Cisco Secure Intrusion Detection을 참조하십시오.

관련 정보

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품