-----BEGIN PGP SIGNED MESSAGE-----

======================================================================
                                                   JPCERT-AT-2001-0020
                                                             JPCERT/CC

緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"

初    版: 2001/08/08 (Ver.01)
発 行 日: 2001/08/10 (Ver.02)
最新情報: http://www.jpcert.or.jp/at/2001/at010020.txt
======================================================================

  JPCERT/CC では、2001年 8月初旬より Code Red II (または Code Red v3)
と呼ばれるワームに関するインシデント報告を多数受け付けています。

  本文書ではこのワームに感染したかどうか、もしくは攻撃されたかどうかの
確認方法とワームに対する対処方法を説明します。このワームには亜種の存在
が考えられるため、確認方法や対処方法としてはこのドキュメントにある内容
だけでは十分ではない可能性もあることをあらかじめご了承下さい。


I. Code Red II とは?

  Code Red II は 2001年 6月に報告された、Microsoft IIS の Indexing
Service に含まれる DLL の脆弱性を使って伝播し、結果的にネットワークを
混雑させる可能性のあるワームです。7月中旬から世界的に広まった、IIS の
同じ脆弱性を使って伝播する Code Red ワームと似ている部分がありますが、
異種のワームです。

  ※ オリジナルの Code Red ワームに関しては以下の URL で示されるページ
     をご覧ください。

       Microsoft IIS の脆弱性を使って伝播するワーム
         http://www.jpcert.or.jp/at/2001/at010018.txt


  このワームによる攻撃の対象となるのは下記の組み合わせで稼働しているサー
バーです。

    * Windows NT 4.0  + IIS + Index Server 2.0
    * Windows 2000    + IIS + Indexing Server
    * Windows XP Beta + IIS + Indexing Server

また Web による制御を実現するために内部で IIS を使用している以下の
Cisco 製品も、このワームによる影響を受ける可能性があります。

    * Cisco CallManager
    * Cisco Unity Server
    * Cisco uOne
    * Cisco ICS7750
    * Cisco Building Broadband Service Manager
    * Cisco Network Management 製品

更にこのワームによる副作用として、以下のネットワーク機器には、ワームに
侵入を試みられると再起動してしまうなどの問題があります。

    * YAMAHA RT80i  初期出荷～Rev.3.00.45
    * YAMAHA RTA50i Rev.3.02 系、Rev.3.03 系、Rev.3.04 系の全て
    * 古河電工 MUCHO-E シリーズ
    * 古河電工 INFONET-VP100 シリーズ
    * 古河電工 FITELnet-E シリーズ
    * Cisco CSS 11000 シリーズ
    * Cisco 600 DSL ルータ

この脆弱性に関する詳細については下記の URL を参照して下さい。

  Microsoft IIS Index Server に含まれる脆弱性に関する注意喚起
      http://www.jpcert.or.jp/at/2001/at010010.txt

  RTシリーズの TCP/IP に関する FAQ
      http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

  CodeRedワームに関する対策について
      http://www.furukawa.co.jp/fitelnet/topic/codered.html

  Cisco Security Advisory: "Code Red" Worm - Customer Impact
      http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml

  このワームは、まず増殖先を探すためにランダムに選んだ他のホストの80番
ポートをスキャンします。そしてポートへの接続に成功すると Microsoft IIS
の脆弱性を悪用するための HTTP GET 要求を攻撃対象のホストへ送信します。

  攻撃に成功すると、ワームはそのホスト上で、ある特定のファイルを作成し
たり、レジストリを書き換えるなどのシステムの改竄を行ないます。その結果、
バックドアと呼ばれる、システム上意図しない外部からのアクセスを許可する
受け口が設置されます。このバックドアの存在により、その後いつでも第三者
が遠隔からシステムを自由に制御できるようになってしまいます。例えば、ワー
ムに侵入されたホストを起源として第三者が他のホストに対して DoS (サービ
ス運用妨害) 攻撃をすることが可能になります。

  このワームによる増殖の攻撃は多数のホストに対して同時に行なわれるため、
ワームに侵入されたシステムの負荷を増大させるだけでなく、ネットワークを
混雑させる可能性があります。場合によっては、ワームに侵入されたホストが
含まれるネットワークだけでなく、攻撃先のネットワーク全体を接続不能にし
てしまうこともあります。

  このワームに関しては以下の URL で示されるページもご覧ください。

  JPCERT/CC Alert 2001-08-06
    "Code Red" Worm の変種に関する注意喚起
      http://www.jpcert.or.jp/at/2001/at010019.txt

  CERT Incident Note IN-2001-09
    "Code Red II:"
     Another Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
      http://www.cert.org/incident_notes/IN-2001-09.html


II. 確認方法

  Code Red II が侵入を試みたホスト上で稼動している Web サーバプログラ
ムのログには以下のような記録が残ることがあります (実際は一行です)。

    GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u685
    8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
    9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

 ※ オリジナルの Code Red ワームでは XXX... の部分が NNN... になります。

この記録はワームが侵入を試みたことを示すだけであり、侵入に成功したこと
を示しているのではないということに注意してください。

  上記の記録がログに残っている場合は、次のようにして感染しているかどう
かを確認してください。

  IIS のスクリプト用フォルダ \inetpub\script などの IIS 経由で外部から
アクセス可能なフォルダに root.exe というファイルがあるかどうかを確認し
てください。このファイルは Code Red II が C:\WINNT\system32\CMD.EXE を
別名でコピーしたものである可能性があります。

  更に C:\explorer.exe または D:\explorer.exe というファイルがあるかど
うかを確認してください。これは Code Red II によって仕掛けられたバック
ドア用のプログラムと考えられます。

  上記のファイルのうち、いずれか 1つでも存在する場合は、ほぼ確実にシス
テムの改竄が行なわれたと考えてよいでしょう。

  ※ root.exe というファイルは Code Red II だけでなく、sadmind/IIS ワー
     ムと呼ばれる、2001年5月初旬から世界中に広まったワームに感染した場
     合にも作成されることがあります。したがって root.exe が存在してい
     る場合は、高い確率でシステムの改竄が行なわれていると思われますが、
     必ずしもそれが Code Red II によるものとは限らないということにご注
     意ください。sadmind/IIS ワームの詳細については以下の URL で示され
     るページをご覧ください。

       Solaris に侵入し Microsoft IIS を攻撃するワーム
         http://www.jpcert.or.jp/at/2001/at010009.txt

  上記のファイルが存在しない場合でも、IIS の稼動しているホストから外部
に対して大量のネットワーク接続が行なわれている場合は、ワームに侵入され
ている可能性があります。この点について確認するには次のように実行してく
ださい。まず Web ブラウザなどのアプリケーションが起動されていない状態
であることを確認した上で、コマンドプロンプトにおいて netstat -an コマ
ンドを実行してください。そこで表示された結果として以下のような記述が多
数存在する場合はワームに侵入された可能性が極めて高いと判断できます。

  TCP  自ホストのIPアドレス:数字  他のホストのIPアドレス:数字(80など)


III. 対処方法

  Code Red II に侵入されたことが確認された場合は、まずそのホストをネッ
トワークから切り離すことをご検討ください。これによりワームの増殖とバッ
クドアからの侵入を防ぐことができます。

  Code Red II は侵入に成功したホスト上でファイルを作成したり、レジスト
リを変更するなどのシステム自体の改竄を行ないます。したがってオリジナル
の Code Red ワームとは異なり、システムを再起動するだけでは復旧しません。

  システムを復旧するためには、まず必要なファイルのバックアップを取り、
ハードディスクをフォーマットした上で、OS を再インストールしてください。
その後、ベンダが提供している IIS の脆弱性を修正するパッチを適用してく
ださい。

  なお、システムの改竄が行われたと考えられるホストからのデータの移行や、
そのホストの OS の再インストールの際にバックアップテープ等を利用される
場合は、バックアップされた情報自体に、ワームなどによって置き換えられた
ファイルやインストールされたプログラム等が記録されてしまっていないか、
十分にご注意頂くことをお勧めいたします。

  パッチ情報の詳細については下記の URL を参照して下さい。

   Microsoft Security Bulletin(MS01-033)
    [日本語版]
      http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

    [英語版]
      http://www.microsoft.com/technet/security/bulletin/ms01-033.asp

  パッチの適用作業の詳細については下記の URL を参照してください。

   Code Red による深刻な問題に対する防護策と対処方法についての説明
      http://www.microsoft.com/japan/technet/security/codeptch.asp


  公開されているパッチは、Windows NT 4.0 の場合は Service Pack 6a、ま
た Windows 2000 の場合は Service Pack 1 または Service Pack 2 に対する
パッチです。したがってパッチを適用する前に、あらかじめ該当する Service
Pack をシステムにインストールしておく必要があります。

  Service Pack のインストールが不可能もしくは極めて困難な場合は、一時
的な対応策として、IIS における .ida および .idq のスクリプトマッピング
を削除することをお勧めします。しかしこの対応方法では、関連するソフトウェ
アをインストールすることでこの関連付けが復元されてしまうことがあります
のでご注意ください。

  今後も更に IIS の同じ脆弱性を使った新種のワームが作られる可能性は高
いと考えられます。IIS を使用されている場合は、至急抜本的な対策を施され
ることを強くお勧めいたします。

  また、Windows 系のサーバ OS では IIS が標準でインストールされます。
そのため、管理者の気がつかないところで IIS が起動してしまっていること
があります。IIS を使用しない場合は、IIS をアンインストールすることをお
勧め致します。


IV. 参考

  現在、実用的に使われているソフトウェアは、どれも複雑で大規模なものに
なっているため、未知のセキュリティホールが含まれる可能性はどのシステム
であっても否定できません。また、対策が明らかになっている既知のセキュリ
ティホールであっても、対策が広く実施されていない間はやはり脅威となりま
す。このような状況では、

・常にセキュリティ関連の情報収集を行なう。 
・セキュリティホールが利用されるまえに、パッチの適用やバージョンアップ 
  を行なう。 
・本当に必要なネットワークサービスだけを運用し、必要がないネットワーク 
  サービスは停止する。

などの対応を推奨いたします。

  各サイトにおかれましては、緊急時の連絡体制につき再確認頂くと共に、い
ま一度、セキュリティ対策の実施状況の確認をお勧めします。また、不審なア
クセスの監視を継続されることをお勧めします。

  対応一般につきましては以下の資料もご覧ください。

   コンピュータセキュリティインシデントへの対応
        http://www.jpcert.or.jp/ed/2000/ed000007.txt

   関係サイトとの情報交換
        http://www.jpcert.or.jp/ed/2000/ed000006.txt


以上。

________

更新履歴

2001/08/10  root.exe に関する追加情報など
2001/08/08  First Version.

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBO3OGQIx1ay4slNTtAQGYQgP/QTKK6iWCFr3TjvQhEnx0BwLJ0ny3Zf8r
qGY3Vdieha/PszpFN8pzdYkkwTlmPKJW0v5sDyAFoDBYrMCfBUcplaiDA6lFGy8C
UNK5b0mIW9i6/D9WXxnRNbuSjo5QMqOj3TgVYBy9xU4NVb1CJmR0sOKR8DfcTgNw
GzDo513cTaE=
=htqd
-----END PGP SIGNATURE-----