JPCERT コーディネーションセンター

Microsoft IIS の脆弱性を使って伝播するワーム

======================================================================
JPCERT-AT-2001-0014
JPCERT/CC

緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム

初 版: 2001/07/25======================================================================

JPCERT/CC では、2001年7月中旬より Code Red ワームに関するインシデント報告を多数受け付けています。

本文書ではこのワームに感染したかどうか、もしくは攻撃されたかどうかの確認方法とワームに対する対処方法を説明します。このワームには亜種がいくつか存在するので、確認方法や対処方法としてはこのドキュメントにある内容だけでは十分ではない可能性もあることをあらかじめご了承下さい。


I. Code Red ワームとは?

Code Red ワームは 2001年 6月に報告された、Microsoft IIS の IndexingService に含まれる DLL の脆弱性を使って伝播するワームです。対象となるのは下記の組み合わせで稼働しているサーバーです。

Windows NT 4.0 + IIS + Index Server 2.0
Windows 2000 + IIS + Indexing Server
Windows XP Beta + IIS + Indexing Server

また Web による制御を実現するために内部で IIS を使用している以下の
Cisco製品も、このワームによる影響を受ける可能性があります。

* Cisco CallManager
* Cisco Unity Server
* Cisco uOne
* Cisco ICS7750
* Cisco Building Broadband Service Manager
* Cisco Network Management 製品

この脆弱性に関する詳細については下記の URL を参照して下さい。

Microsoft IIS Index Server に含まれる脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010010.txt

このワームは、まず増殖先を探すためにランダムに選んだ他のホストの80番ポートをスキャンします。そしてポートへの接続に成功すると Microsoft IIS
の脆弱性を悪用するための HTTP GET 要求を攻撃対象のホストへ送信します。

攻撃に成功すると、ワームはホストのシステムクロックを調べて、以下のようなスケジュールで活動します。

(1) 毎月 1日〜 19日

侵入に成功したホストの Web ページを書き換えたり、そのホストから更
に他のホストへの侵入を試みます。その際にシステム負荷が増大する可能
性があります。

(2) 毎月 20日〜 27日

特定の IP アドレス (198.137.240.91) へ向けて DoS 攻撃を行ないます。

(3) 毎月 28日〜月末

活動を休止します。

このように、このワームに侵入されたホストは、Webページを改竄されたり、システム負荷が増大するといった被害を受けるだけでなく、他のシステムに対してワームを侵入させたり、DoS 攻撃を行なう加害者になる可能性があります。

このワームの詳細に関しては以下の URL で示されるページをご覧ください。

JPCERT/CC Alert 2001-07-19
Microsoft IIS サーバの脆弱性を使って伝播する Worm に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010013.txt

CERT Advisory CA-2001-19
"Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
http://www.cert.org/advisories/CA-2001-19.html

CIAC Bulletin L-117
The Code Red Worm
http://www.ciac.org/ciac/bulletins/l-117.shtml

CIAC Bulletin L-120
Cisco "Code Red" Worm Impact
http://www.ciac.org/ciac/bulletins/l-120.shtml

Cisco Security Advisory
"Code Red" Worm - Customer Impact
http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml


II. 確認方法

Code Red ワームが侵入を試みたホスト上で稼動している Web サーバプログラムのログには以下のような記録が残ることがあります (実際は一行です)。


GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u685
8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

この記録はワームが侵入を試みたことを示すだけであり、侵入に成功したことを示しているのではないということに注意してください。

ワームが侵入に成功していて、且つ現在の日付が 1日から 19日の間である場合は、他のホストに対して侵入を試みる活動をしています。その活動を確認するために、まず Web ブラウザなどのアプリケーションが起動されていない状態であることを確認した上で、コマンドプロンプトにおいて netstat -an
コマンドを実行してください。そこで表示された結果として以下のような記述が多数存在する場合はワームに侵入された可能性が極めて高いと判断できます。

TCP 自ホストのIPアドレス:数字 他のホストのIPアドレス:80

またワームが侵入に成功したホストの OS が英語版の Windows である場合は、そのホスト上の Web ページの内容が赤い文字で

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

という内容に改竄されることがあります。日本語版の Windows が侵入された場合で、このようなページの改竄が行なわれたという報告はありません。


III. 対処方法

Code Red ワームは侵入に成功したホストのメモリのみに感染するので、システムを再起動することでワーム本体、および改竄された Web ページを取り除くことができます。しかしながら、このワームが侵入先を選択する際に用いる乱数発生システムの性質上、一度ワームに侵入されたホストは再びワームによる侵入の攻撃を受ける可能性があります。したがって、このワームによる攻撃からホストを守るための抜本的な解決法としては、ベンダの提供するパッチを適用して IIS の脆弱性を修復することが強く推奨されています。

パッチ情報の詳細については下記の URL を参照して下さい。

Microsoft Security Bulletin(MS01-033)
[日本語版]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

[英語版]
http://www.microsoft.com/technet/security/bulletin/ms01-033.asp


IV. 参考

現在、実用的に使われているソフトウェアは、どれも複雑で大規模なものになっているため、未知のセキュリティホールが含まれる可能性はどのシステムであっても否定できません。また、対策が明らかになっている既知のセキュリティホールであっても、対策が広く実施されていない間はやはり脅威となります。このような状況では、

・常にセキュリティ関連の情報収集を行なう。
・セキュリティホールが利用されるまえに、パッチの適用やバージョンアップ
を行なう。
・本当に必要なネットワークサービスだけを運用し、必要がないネットワーク
サービスは停止する。

などの対応を推奨いたします。

各サイトにおかれましては、緊急時の連絡体制につき再確認頂くと共に、いま一度、セキュリティ対策の実施状況の確認をお勧めします。また、不審なアクセスの監視を継続されることをお勧めします。

対応一般につきましては以下の資料もご覧ください。

コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2000/ed000007.txt

関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2000/ed000006.txt


以上。
Topへ
最新情報(RSSメーリングリストTwitter