2003년 7월 말, Computer Economics (Carlsbad, CA의 독립 연구 기관)는 "Code Red" 웜이 네트워크 손상과 생산성 손실로부터 회복하는 데 12억 달러(미국)의 비용이 들었다고 추정했습니다. 이 추정치는 더 강력한 "Code Red II" 웜의 후속 릴리스와 함께 크게 증가했습니다. Cisco SAFE Blueprint의 핵심 구성 요소인 Cisco Secure IDS(Intrusion Detection System)는 "Code Red" 웜을 비롯한 네트워크 보안 위험을 탐지하고 완화하는 데 있어 뛰어난 가치를 입증했습니다.
이 문서에서는 "Code Red" 웜이 사용하는 익스플로잇 방법을 탐지하는 소프트웨어 업데이트에 대해 설명합니다(아래 서명 2 참조).
Microsoft Windows NT 및 IIS(인터넷 정보 서비스) 4.0 또는 Windows 2000 및 IIS 5.0을 실행하는 웹 서버에 대한 버퍼 오버플로의 익스플로잇을 추적하려면 아래에 표시된 사용자 지정 문자열 일치 서명을 만들 수 있습니다. Windows XP 베타의 인덱싱 서비스도 취약합니다. 이 취약성을 설명하는 보안 권고 사항은 http://www.eeye.com/html/Research/Advisories/AD20010618.html입니다. Microsoft는 http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx에서 다운로드할 수 있는 이 취약성에 대한 패치를 릴리스했습니다
.
이 문서에서 설명한 시그니처를 시그니처 업데이트 릴리스 S(5)에서 사용할 수 있게 되었습니다. Cisco Systems에서는 이 서명을 구현하기 전에 센서를 2.2.1.8 또는 2.5(1)S3 서명 업데이트로 업그레이드할 것을 권장합니다. 등록된 사용자는 Cisco Secure Software Center에서 이러한 서명 업데이트를 다운로드할 수 있습니다. 모든 사용자는 Cisco Worldwide Contacts를 통해 전자 메일과 전화로 Cisco Technical Support에 문의할 수 있습니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
Microsoft Windows NT 및 IIS 4.0
Microsoft Windows 2000 및 IIS 5.0
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
이 문제를 해결하기 위한 두 가지 특정 맞춤형 문자열 일치 시그니처가 있습니다. 각 서명은 아래에 설명되어 있으며, 해당 제품 설정이 제공됩니다.
이 서명은 인덱싱 서버 ISAPI 확장에서 시도된 버퍼 오버플로에서 발생하며, 셸 코드를 서버로 전달하여 코드의 원래 형식으로 특권 액세스를 얻으려는 시도와 결합됩니다. 시그니처는 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스로 전달하려고 시도하는 경우에만 발생합니다. 한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 크래시하고 서비스 거부를 만들려는 시도에서 서비스에 대해 버퍼 오버플로를 실행하기만 하면 이 시그니처가 실행되지 않는다는 것입니다.
[Gg][Ee][Tt].*[.][Ii][Dd][Aa][\x00-\x7f]+[\x80-\xff]
발생 횟수: 1
포트: 80
참고: 다른 TCP 포트(예: 8080)에서 수신하는 웹 서버가 있는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.
권장 경보 심각도 수준:
높음(Cisco Secure Policy Manager)
5(Unix 디렉터)
방향:
수신
두 번째 서명은 인덱싱 서버 ISAPI 확장에서 시도된 버퍼 오버플로에서 발생하며, "코드 레드" 웜에서 사용하는 난독화된 형식으로 권한이 부여된 액세스를 얻기 위해 서버에 셸 코드를 전달하려는 시도와 결합됩니다. 이 서명은 전체 SYSTEM 레벨 액세스를 얻기 위해 셸 코드를 대상 서비스로 전달하려는 시도에서만 발생합니다. 한 가지 가능한 문제는 공격자가 셸 코드를 전달하려고 시도하지 않고 IIS를 크래시하고 서비스 거부를 만들려는 시도에서 서비스에 대해 버퍼 오버플로를 실행하기만 하면 이 시그니처가 실행되지 않는다는 것입니다.
[/]default[.]ida[?][a-zA-Z0-9]+%u
참고: 위 문자열에는 공백이 없습니다.
발생 횟수: 1
포트: 80
참고: 다른 TCP 포트(예: 8080)에서 수신하는 웹 서버가 있는 경우 각 포트 번호에 대해 별도의 사용자 지정 문자열 일치를 생성해야 합니다.
권장 경보 심각도 수준:
높음(Cisco Secure Policy Manager)
5(Unix 디렉터)
방향:
수신
Cisco Secure IDS에 대한 자세한 내용은 Cisco Secure Intrusion Detection을 참조하십시오.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
10-Dec-2001 |
최초 릴리스 |