Microsoft IIS の脆弱性を使って伝播するワーム(更新)
最終更新: 2001-08-10
======================================================================
JPCERT-AT-2001-0018
JPCERT/CC
緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム
初 版: 2001/07/25 (Ver.01)
発 行 日: 2001/08/10 (Ver.03)
最新情報: http://www.jpcert.or.jp/at/2001/at010018.txt
======================================================================
JPCERT/CC では、2001年7月中旬より Code Red と呼ばれるワームに関する
インシデント報告を多数受け付けています。
本文書ではこのワームに感染したかどうか、もしくは攻撃されたかどうかの
確認方法とワームに対する対処方法を説明します。このワームには亜種がいく
つか存在するので、確認方法や対処方法としてはこのドキュメントにある内容
だけでは十分ではない可能性もあることをあらかじめご了承下さい。
I. Code Red ワームとは?
Code Red ワームは 2001年 6月に報告された、Microsoft IIS の Indexing
Service に含まれる DLL の脆弱性を使って伝播するワームです。8月初旬から
世界的に広まった、IIS の同じ脆弱性を使って伝播する Code Red II (または
Code Red v3) と呼ばれるワームと似ている部分がありますが、異種のワーム
です。
※ Code Red II に関しては以下の URL で示されるページをご覧ください。
Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"
http://www.jpcert.or.jp/at/2001/at010020.txt
このワームによる攻撃の対象となるのは下記の組み合わせで稼働しているサー
バーです。
* Windows NT 4.0 + IIS + Index Server 2.0
* Windows 2000 + IIS + Indexing Server
* Windows XP Beta + IIS + Indexing Server
また Web による制御を実現するために内部で IIS を使用している以下の
Cisco 製品も、このワームによる影響を受ける可能性があります。
* Cisco CallManager
* Cisco Unity Server
* Cisco uOne
* Cisco ICS7750
* Cisco Building Broadband Service Manager
* Cisco Network Management 製品
更にこのワームによる副作用として、以下のネットワーク機器には、ワームに
侵入を試みられると再起動してしまうなどの問題があります。
* YAMAHA RT80i 初期出荷?Rev.3.00.45
* YAMAHA RTA50i Rev.3.02 系、Rev.3.03 系、Rev.3.04 系の全て
* 古河電工 MUCHO-E シリーズ
* 古河電工 INFONET-VP100 シリーズ
* 古河電工 FITELnet-E シリーズ
* Cisco CSS 11000 シリーズ
* Cisco 600 DSL ルータ
この脆弱性に関する詳細については下記の URL を参照して下さい。
Microsoft IIS Index Server に含まれる脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010010.txt
RTシリーズの TCP/IP に関する FAQ
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html
CodeRedワームに関する対策について
http://www.furukawa.co.jp/fitelnet/topic/codered.html
Cisco Security Advisory: "Code Red" Worm - Customer Impact
http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml
このワームは、まず増殖先を探すためにランダムに選んだ他のホストの80番
ポートをスキャンします。そしてポートへの接続に成功すると Microsoft IIS
の脆弱性を悪用するための HTTP GET 要求を攻撃対象のホストへ送信します。
攻撃に成功すると、ワームはホストのシステムクロックを調べて、以下のよ
うなスケジュールで活動します。
(1) 毎月 1日? 19日
侵入に成功したホストの Web ページを書き換えたり、そのホストから更
に他のホストへの侵入を試みます。その際にシステム負荷が増大する可能
性があります。
(2) 毎月 20日? 27日
特定の IP アドレス (198.137.240.91) へ向けて DoS 攻撃を行ないます。
(3) 毎月 28日?月末
活動を休止します。
このように、このワームに侵入されたホストは、Webページを改竄されたり、
システム負荷が増大するといった被害を受けるだけでなく、他のシステムに対
してワームを侵入させたり、DoS 攻撃を行なう加害者になる可能性があります。
このワームに関しては以下の URL で示されるページもご覧ください。
JPCERT/CC Alert 2001-07-19
Microsoft IIS の脆弱性を使って伝播する Worm に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010013.txt
CERT Advisory CA-2001-19
"Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
http://www.cert.org/advisories/CA-2001-19.html
CIAC Bulletin L-117
The Code Red Worm
http://www.ciac.org/ciac/bulletins/l-117.shtml
CIAC Bulletin L-120
Cisco "Code Red" Worm Impact
http://www.ciac.org/ciac/bulletins/l-120.shtml
II. 確認方法
Code Red ワームが侵入を試みたホスト上で稼動している Web サーバプログ
ラムのログには以下のような記録が残ることがあります (実際は一行です)。
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u685
8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
※ Code Red II では NNN... の部分が XXX... になります。
この記録はワームが侵入を試みたことを示すだけであり、侵入に成功したこと
を示しているのではないということに注意してください。
ワームが侵入に成功していて、且つ現在の日付が 1日から 19日の間である
場合は、他のホストに対して侵入を試みる活動をしています。その活動を確認
するために、まず Web ブラウザなどのアプリケーションが起動されていない
状態であることを確認した上で、コマンドプロンプトにおいて netstat -an
コマンドを実行してください。そこで表示された結果として以下のような記述
が多数存在する場合はワームに侵入された可能性が極めて高いと判断できます。
TCP 自ホストのIPアドレス:数字 他のホストのIPアドレス:80
またワームが侵入に成功したホストの OS が英語版の Windows である場合
は、そのホスト上の Web ページの内容が赤い文字で
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
という内容に改竄されることがあります。日本語版の Windows が侵入された
場合で、このようなページの改竄が行なわれたという報告はありません。
III. 対処方法
Code Red ワームに侵入されたことが確認された場合は、まずそのホストを
ネットワークから切り離すことをご検討ください。これによりワームの増殖や
DoS 攻撃を防ぐことができます。
Code Red ワームは侵入に成功したホストのメモリのみに感染するので、シ
ステムを再起動することでワーム本体、および改竄された Web ページを取り
除くことができます。しかしながら、このワームが侵入先を選択する際に用い
る乱数発生システムの性質上、一度ワームに侵入されたホストは再びワームに
よる侵入の攻撃を受ける可能性があります。したがって、このワームによる攻
撃からホストを守るための抜本的な解決法としては、ベンダの提供するパッチ
を適用して IIS の脆弱性を修復することが強く推奨されています。
パッチ情報の詳細については下記の URL を参照して下さい。
Microsoft Security Bulletin(MS01-033)
[日本語版]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
[英語版]
http://www.microsoft.com/technet/security/bulletin/ms01-033.asp
パッチの適用作業の詳細については下記の URL を参照してください。
Code Red による深刻な問題に対する防護策と対処方法についての説明
http://www.microsoft.com/japan/technet/security/codeptch.asp
公開されているパッチは、Windows NT 4.0 の場合は Service Pack 6a、ま
た Windows 2000 の場合は Service Pack 1 または Service Pack 2 に対する
パッチです。したがってパッチを適用する前に、あらかじめ該当する Service
Pack をシステムにインストールしておく必要があります。
Service Pack のインストールが不可能もしくは極めて困難な場合は、一時
的な対応策として、IIS における .ida および .idq のスクリプトマッピング
を削除することをお勧めします。しかしこの対応方法では、関連するソフトウェ
アをインストールすることでこの関連付けが復元されてしまうことがあります
のでご注意ください。
今後、IIS の同じ脆弱性を使った新種のワームが作られる可能性は高いと考
えられます。IIS を使用されている場合は、至急抜本的な対策を施されること
を強くお勧めいたします。
また、Windows 系のサーバ OS では IIS が標準でインストールされます。
そのため、管理者の気がつかないところで IIS が起動してしまっていること
があります。IIS を使用しない場合は、IIS をアンインストールすることをお
勧め致します。
IV. 参考
現在、実用的に使われているソフトウェアは、どれも複雑で大規模なものに
なっているため、未知のセキュリティホールが含まれる可能性はどのシステム
であっても否定できません。また、対策が明らかになっている既知のセキュリ
ティホールであっても、対策が広く実施されていない間はやはり脅威となりま
す。このような状況では、
・常にセキュリティ関連の情報収集を行なう。
・セキュリティホールが利用されるまえに、パッチの適用やバージョンアップ
を行なう。
・本当に必要なネットワークサービスだけを運用し、必要がないネットワーク
サービスは停止する。
などの対応を推奨いたします。
各サイトにおかれましては、緊急時の連絡体制につき再確認頂くと共に、い
ま一度、セキュリティ対策の実施状況の確認をお勧めします。また、不審なア
クセスの監視を継続されることをお勧めします。
対応一般につきましては以下の資料もご覧ください。
コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2002/ed020001.txt
以上。
________
更新履歴
2001/08/10 Code Red II に関する情報の追加など
2001/07/31 対処方法の更新
2001/07/25 First Version.
Topへ