2003년 7월 말, Computer Economist(CA Carlsbad의 독립 연구 기관)는 "Code Red(코드 레드)" 지렁이(Code Red)"가 네트워크 손상 및 생산성 손실 복구 시 기업에서 12억 달러의 비용을 부담하는 것으로 추정했습니다.이 추정은 더 강력한 "코드 레드 II" 벌레의 후속 릴리스와 함께 상당히 상승했습니다.Cisco SAFE Blueprint의 핵심 구성 요소인 Cisco IDS(Secure Intrusion Detection System)는 "Code Red(코드 레드)" WORM을 비롯한 네트워크 보안 위험을 탐지하고 완화하는 데 있어 그 가치를 입증했습니다.
이 문서에서는 "Code Red(코드 레드)" worm에서 사용하는 익스플로잇 방법을 탐지하기 위한 소프트웨어 업데이트에 대해 설명합니다(아래 서명 2 참조).
아래에 표시된 사용자 지정 문자열 일치 서명을 만들어 Microsoft Windows NT 및 IIS(인터넷 정보 서비스) 4.0 또는 Windows 2000 및 IIS 5.0을 실행하는 웹 서버에 대한 버퍼 오버플로를 catch할 수 있습니다. Windows XP 베타의 인덱싱 서비스도 취약합니다.이 취약성을 설명하는 보안 권고 사항은 http://www.eeye.com/html/Research/Advisories/AD20010618.html에 있습니다 .Microsoft는 http://www.microsoft.com/technet/security/bulletin/MS.01-033.mspx에서 다운로드할 수 있는 이 취약성에 대한 패치를 릴리스했습니다
.
이 문서에서 설명한 서명은 서명 업데이트 릴리스 S(5)에서 사용할 수 있게 되었습니다. Cisco Systems는 이 서명을 구현하기 전에 센서를 2.2.1.8 또는 2.5(1)S3 서명 업데이트로 업그레이드할 것을 권장합니다.등록된 사용자는 Cisco Secure Software Center에서 이러한 서명 업데이트를 다운로드할 수 있습니다.모든 사용자는 Cisco Worldwide Contacts를 통해 이메일 및 전화로 Cisco 기술 지원에 문의할 수 있습니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
Microsoft Windows NT 및 IIS 4.0
Microsoft Windows 2000 및 IIS 5.0
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
이 문제를 해결하기 위한 두 가지 특정 사용자 지정 문자열 일치 서명이 있습니다.각 서명은 아래에 설명되어 있으며 적용 가능한 제품 설정이 제공됩니다.
이 시그니처는 인덱스 서버 ISAPI 확장에서 버퍼 오버플로를 시도하여 셸 코드를 서버에 전달하여 원래 형식의 코드에 대한 액세스 권한을 얻으려는 시도와 결합됩니다.서명은 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스에 전달하려는 시도에서만 발생합니다.한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 충돌시키고 서비스 거부를 만들기 위해 서비스에 대해 버퍼 오버플로를 실행하면 이 서명이 실행되지 않는다는 것입니다.
[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]
발생:1
포트:80
참고: 웹 서버가 다른 TCP 포트(예: 8080)에서 수신하는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.
권장 경보 심각도 수준:
높음(Cisco Secure Policy Manager)
5(Unix 디렉터)
방향:
받는 사람
두 번째 시그니처는 인덱싱 서버 ISAPI 확장에서 시도된 버퍼 오버플로에 대해 발생하며, 셸 코드를 서버에 전달하여 "코드 레드" WORM에서 사용하는 난독 형식의 특권 액세스를 얻으려고 합니다.이 서명은 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스에 전달하려는 시도에서만 발생합니다.한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 충돌시키고 서비스 거부를 만들기 위해 서비스에 대해 버퍼 오버플로를 실행하면 이 서명이 실행되지 않는다는 것입니다.
[/]default[.]ida[?][a-zA-Z0-9]+%u
참고: 위 문자열에 공백이 없습니다.
발생:1
포트:80
참고: 웹 서버가 다른 TCP 포트(예: 8080)에서 수신하는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.
권장 경보 심각도 수준:
높음(Cisco Secure Policy Manager)
5(Unix 디렉터)
방향:
받는 사람
Cisco Secure IDS에 대한 자세한 내용은 Cisco Secure Intrusion Detection을 참조하십시오.