JPCERT コーディネーションセンター

Microsoft IIS の脆弱性を使って伝播するワーム"Code Red II"(更新)

======================================================================
JPCERT-AT-2001-0020
JPCERT/CC

緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"

初 版: 2001/08/08 (Ver.01)発 行 日: 2001/08/10 (Ver.02)最新情報: http://www.jpcert.or.jp/at/2001/at010020.txt======================================================================

JPCERT/CC では、2001年 8月初旬より Code Red II (または Code Red v3)と呼ばれるワームに関するインシデント報告を多数受け付けています。

本文書ではこのワームに感染したかどうか、もしくは攻撃されたかどうかの確認方法とワームに対する対処方法を説明します。このワームには亜種の存在が考えられるため、確認方法や対処方法としてはこのドキュメントにある内容だけでは十分ではない可能性もあることをあらかじめご了承下さい。


I. Code Red II とは?

Code Red II は 2001年 6月に報告された、Microsoft IIS の IndexingService に含まれる DLL の脆弱性を使って伝播し、結果的にネットワークを混雑させる可能性のあるワームです。7月中旬から世界的に広まった、IIS の同じ脆弱性を使って伝播する Code Red ワームと似ている部分がありますが、異種のワームです。

※ オリジナルの Code Red ワームに関しては以下の URL で示されるページ
をご覧ください。

Microsoft IIS の脆弱性を使って伝播するワーム
http://www.jpcert.or.jp/at/2001/at010018.txt


このワームによる攻撃の対象となるのは下記の組み合わせで稼働しているサーバーです。

* Windows NT 4.0 + IIS + Index Server 2.0
* Windows 2000 + IIS + Indexing Server
* Windows XP Beta + IIS + Indexing Server

また Web による制御を実現するために内部で IIS を使用している以下のCisco 製品も、このワームによる影響を受ける可能性があります。

* Cisco CallManager
* Cisco Unity Server
* Cisco uOne
* Cisco ICS7750
* Cisco Building Broadband Service Manager
* Cisco Network Management 製品

更にこのワームによる副作用として、以下のネットワーク機器には、ワームに侵入を試みられると再起動してしまうなどの問題があります。

* YAMAHA RT80i 初期出荷〜Rev.3.00.45
* YAMAHA RTA50i Rev.3.02 系、Rev.3.03 系、Rev.3.04 系の全て
* 古河電工 MUCHO-E シリーズ
* 古河電工 INFONET-VP100 シリーズ
* 古河電工 FITELnet-E シリーズ
* Cisco CSS 11000 シリーズ
* Cisco 600 DSL ルータ

この脆弱性に関する詳細については下記の URL を参照して下さい。

Microsoft IIS Index Server に含まれる脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010010.txt

RTシリーズの TCP/IP に関する FAQ
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/www-server-vulnerability.html

CodeRedワームに関する対策について
http://www.furukawa.co.jp/fitelnet/topic/codered.html

Cisco Security Advisory: "Code Red" Worm - Customer Impact
http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml

このワームは、まず増殖先を探すためにランダムに選んだ他のホストの80番ポートをスキャンします。そしてポートへの接続に成功すると Microsoft IISの脆弱性を悪用するための HTTP GET 要求を攻撃対象のホストへ送信します。

攻撃に成功すると、ワームはそのホスト上で、ある特定のファイルを作成したり、レジストリを書き換えるなどのシステムの改竄を行ないます。その結果、バックドアと呼ばれる、システム上意図しない外部からのアクセスを許可する受け口が設置されます。このバックドアの存在により、その後いつでも第三者が遠隔からシステムを自由に制御できるようになってしまいます。例えば、ワームに侵入されたホストを起源として第三者が他のホストに対して DoS (サービス運用妨害) 攻撃をすることが可能になります。

このワームによる増殖の攻撃は多数のホストに対して同時に行なわれるため、ワームに侵入されたシステムの負荷を増大させるだけでなく、ネットワークを混雑させる可能性があります。場合によっては、ワームに侵入されたホストが含まれるネットワークだけでなく、攻撃先のネットワーク全体を接続不能にしてしまうこともあります。

このワームに関しては以下の URL で示されるページもご覧ください。

JPCERT/CC Alert 2001-08-06
"Code Red" Worm の変種に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010019.txt

CERT Incident Note IN-2001-09
"Code Red II:"
Another Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
http://www.cert.org/incident_notes/IN-2001-09.html


II. 確認方法

Code Red II が侵入を試みたホスト上で稼動している Web サーバプログラムのログには以下のような記録が残ることがあります (実際は一行です)。

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u685
8%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u
9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a

※ オリジナルの Code Red ワームでは XXX... の部分が NNN... になります。

この記録はワームが侵入を試みたことを示すだけであり、侵入に成功したことを示しているのではないということに注意してください。

上記の記録がログに残っている場合は、次のようにして感染しているかどうかを確認してください。

IIS のスクリプト用フォルダ \inetpub\script などの IIS 経由で外部からアクセス可能なフォルダに root.exe というファイルがあるかどうかを確認してください。このファイルは Code Red II が C:\WINNT\system32\CMD.EXE を別名でコピーしたものである可能性があります。

更に C:\explorer.exe または D:\explorer.exe というファイルがあるかどうかを確認してください。これは Code Red II によって仕掛けられたバックドア用のプログラムと考えられます。

上記のファイルのうち、いずれか 1つでも存在する場合は、ほぼ確実にシステムの改竄が行なわれたと考えてよいでしょう。

※ root.exe というファイルは Code Red II だけでなく、sadmind/IIS ワー
ムと呼ばれる、2001年5月初旬から世界中に広まったワームに感染した場
合にも作成されることがあります。したがって root.exe が存在してい
る場合は、高い確率でシステムの改竄が行なわれていると思われますが、
必ずしもそれが Code Red II によるものとは限らないということにご注
意ください。sadmind/IIS ワームの詳細については以下の URL で示され
るページをご覧ください。

Solaris に侵入し Microsoft IIS を攻撃するワーム
http://www.jpcert.or.jp/at/2001/at010009.txt

上記のファイルが存在しない場合でも、IIS の稼動しているホストから外部に対して大量のネットワーク接続が行なわれている場合は、ワームに侵入されている可能性があります。この点について確認するには次のように実行してください。まず Web ブラウザなどのアプリケーションが起動されていない状態であることを確認した上で、コマンドプロンプトにおいて netstat -an コマンドを実行してください。そこで表示された結果として以下のような記述が多数存在する場合はワームに侵入された可能性が極めて高いと判断できます。

TCP 自ホストのIPアドレス:数字 他のホストのIPアドレス:数字(80など)


III. 対処方法

Code Red II に侵入されたことが確認された場合は、まずそのホストをネットワークから切り離すことをご検討ください。これによりワームの増殖とバックドアからの侵入を防ぐことができます。

Code Red II は侵入に成功したホスト上でファイルを作成したり、レジストリを変更するなどのシステム自体の改竄を行ないます。したがってオリジナルの Code Red ワームとは異なり、システムを再起動するだけでは復旧しません。

システムを復旧するためには、まず必要なファイルのバックアップを取り、ハードディスクをフォーマットした上で、OS を再インストールしてください。その後、ベンダが提供している IIS の脆弱性を修正するパッチを適用してください。

なお、システムの改竄が行われたと考えられるホストからのデータの移行や、そのホストの OS の再インストールの際にバックアップテープ等を利用される場合は、バックアップされた情報自体に、ワームなどによって置き換えられたファイルやインストールされたプログラム等が記録されてしまっていないか、十分にご注意頂くことをお勧めいたします。

パッチ情報の詳細については下記の URL を参照して下さい。

Microsoft Security Bulletin(MS01-033)
[日本語版]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

[英語版]
http://www.microsoft.com/technet/security/bulletin/ms01-033.asp

パッチの適用作業の詳細については下記の URL を参照してください。

Code Red による深刻な問題に対する防護策と対処方法についての説明
http://www.microsoft.com/japan/technet/security/codeptch.asp


公開されているパッチは、Windows NT 4.0 の場合は Service Pack 6a、また Windows 2000 の場合は Service Pack 1 または Service Pack 2 に対するパッチです。したがってパッチを適用する前に、あらかじめ該当する ServicePack をシステムにインストールしておく必要があります。

Service Pack のインストールが不可能もしくは極めて困難な場合は、一時的な対応策として、IIS における .ida および .idq のスクリプトマッピングを削除することをお勧めします。しかしこの対応方法では、関連するソフトウェアをインストールすることでこの関連付けが復元されてしまうことがありますのでご注意ください。

今後も更に IIS の同じ脆弱性を使った新種のワームが作られる可能性は高いと考えられます。IIS を使用されている場合は、至急抜本的な対策を施されることを強くお勧めいたします。

また、Windows 系のサーバ OS では IIS が標準でインストールされます。そのため、管理者の気がつかないところで IIS が起動してしまっていることがあります。IIS を使用しない場合は、IIS をアンインストールすることをお勧め致します。


IV. 参考

現在、実用的に使われているソフトウェアは、どれも複雑で大規模なものになっているため、未知のセキュリティホールが含まれる可能性はどのシステムであっても否定できません。また、対策が明らかになっている既知のセキュリティホールであっても、対策が広く実施されていない間はやはり脅威となります。このような状況では、

・常にセキュリティ関連の情報収集を行なう。
・セキュリティホールが利用されるまえに、パッチの適用やバージョンアップ
を行なう。
・本当に必要なネットワークサービスだけを運用し、必要がないネットワーク
サービスは停止する。

などの対応を推奨いたします。

各サイトにおかれましては、緊急時の連絡体制につき再確認頂くと共に、いま一度、セキュリティ対策の実施状況の確認をお勧めします。また、不審なアクセスの監視を継続されることをお勧めします。

対応一般につきましては以下の資料もご覧ください。

コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2000/ed000007.txt

関係サイトとの情報交換
http://www.jpcert.or.jp/ed/2000/ed000006.txt


以上。

________

更新履歴

2001/08/10 root.exe に関する追加情報など2001/08/08 First Version.
Topへ
最新情報(RSSメーリングリストTwitter