IIS 4.0 및 5.0의 Microsoft Index Server ISAPI Extension에서 "Code Red" 웜 원격 버퍼 오버플로에 대해 Cisco Secure IDS/NetRanger 사용자 지정 문자열 일치 시그니처 사용

다운로드 옵션

  • PDF     (286.2 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (93.7 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (80.2 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2008년 6월 24일
문서 ID:13870

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

2003년 7월 말, Computer Economics (Carlsbad, CA의 독립 연구 기관)는 "Code Red" 웜이 네트워크 손상과 생산성 손실로부터 회복하는 데 12억 달러(미국)의 비용이 들었다고 추정했습니다. 이 추정치는 더 강력한 "Code Red II" 웜의 후속 릴리스와 함께 크게 증가했습니다. Cisco SAFE Blueprint의 핵심 구성 요소인 Cisco Secure IDS(Intrusion Detection System)는 "Code Red" 웜을 비롯한 네트워크 보안 위험을 탐지하고 완화하는 데 있어 뛰어난 가치를 입증했습니다.

이 문서에서는 "Code Red" 웜이 사용하는 익스플로잇 방법을 탐지하는 소프트웨어 업데이트에 대해 설명합니다(아래 서명 2 참조).

Microsoft Windows NT 및 IIS(인터넷 정보 서비스) 4.0 또는 Windows 2000 및 IIS 5.0을 실행하는 웹 서버에 대한 버퍼 오버플로의 익스플로잇을 추적하려면 아래에 표시된 사용자 지정 문자열 일치 서명을 만들 수 있습니다. Windows XP 베타의 인덱싱 서비스도 취약합니다. 이 취약성을 설명하는 보안 권고 사항은 http://www.eeye.com/html/Research/Advisories/AD20010618.html입니다icon_popup_short.gif. Microsoft는 http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx에서 다운로드할 수 있는 이 취약성에 대한 패치를 릴리스했습니다icon_popup_short.gif.

이 문서에서 설명한 시그니처를 시그니처 업데이트 릴리스 S(5)에서 사용할 수 있게 되었습니다. Cisco Systems에서는 이 서명을 구현하기 전에 센서를 2.2.1.8 또는 2.5(1)S3 서명 업데이트로 업그레이드할 것을 권장합니다. 등록된 사용자는 Cisco Secure Software Center에서 이러한 서명 업데이트를 다운로드할 수 있습니다. 모든 사용자는 Cisco Worldwide Contacts를 통해 전자 메일과 전화로 Cisco Technical Support에 문의할 있습니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

  • Microsoft Windows NT 및 IIS 4.0

  • Microsoft Windows 2000 및 IIS 5.0

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

사용자 지정 문자열 일치 서명

이 문제를 해결하기 위한 두 가지 특정 맞춤형 문자열 일치 시그니처가 있습니다. 각 서명은 아래에 설명되어 있으며, 해당 제품 설정이 제공됩니다.

시그니처 1 — 익스플로잇 시도를 사용한 인덱스 서버 액세스

이 서명은 인덱싱 서버 ISAPI 확장에서 시도된 버퍼 오버플로에서 발생하며, 셸 코드를 서버로 전달하여 코드의 원래 형식으로 특권 액세스를 얻으려는 시도와 결합됩니다. 시그니처는 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스로 전달하려고 시도하는 경우에만 발생합니다. 한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 크래시하고 서비스 거부를 만들려는 시도에서 서비스에 대해 버퍼 오버플로를 실행하기만 하면 이 시그니처가 실행되지 않는다는 것입니다.

문자열 

[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]

제품 설정

  • 발생 횟수: 1

  • 포트: 80

참고: 다른 TCP 포트(예: 8080)에서 수신하는 웹 서버가 있는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.

  • 권장 경보 심각도 수준:

    • 높음(Cisco Secure Policy Manager)

    • 5(Unix 디렉터)

  • 방향:

    수신

서명 2 — 인덱스 서버 액세스 버퍼 오버플로 "코드 레드" 웜

두 번째 서명은 인덱싱 서버 ISAPI 확장에서 시도된 버퍼 오버플로에서 발생하며, "코드 레드" 웜에서 사용하는 난독화된 형식으로 권한이 부여된 액세스를 얻기 위해 서버에 셸 코드를 전달하려는 시도와 결합됩니다. 이 서명은 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스로 전달하려는 시도에서만 발생합니다. 한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 크래시하고 서비스 거부를 만들려는 시도에서 서비스에 대해 버퍼 오버플로를 실행하기만 하면 이 시그니처가 실행되지 않는다는 것입니다.

문자열 

[/]default[.]ida[?][a-zA-Z0-9]+%u

참고: 위 문자열에는 공백이 없습니다.

제품 설정

  • 발생 횟수: 1

  • 포트: 80

참고: 다른 TCP 포트(예: 8080)에서 수신하는 웹 서버가 있는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.

  • 권장 경보 심각도 수준:

    • 높음(Cisco Secure Policy Manager)

    • 5(Unix 디렉터)

  • 방향:

    수신

Cisco Secure IDS에 대한 자세한 내용은 Cisco Secure Intrusion Detection을 참조하십시오.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
10-Dec-2001
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품