|
CERT Advisory 2001-19
- この文書はCERT Advisory文書の和訳である。和訳については一切の
保証はしない。この文書を使った結果のあらゆる損害等について
訳者は一切責を負わない。また、転載は禁じる。
- この和訳は文書の性質上、in rushであり、訳の自然さより
も訳出の迅速さを目指している。内容の正確さについては訳者としての
良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を
図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが
残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の
性質上、ネットワーク管理者等であるため、この読者層に通じやすい
訳語選定を心がけている。
- この和訳はあくまでも訳者の個人的な関心に基づいて行われている。
今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが
どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること
がある。
- 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で
CERTと契約を行って翻訳を行っているところがある。
なお、本翻訳はその翻訳を
一切参照していない。特にその必要を感じないからでもあるが、本質的に
翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意
深い読者が比較検討して、読者の判断で何が正しいのかを判断できると
考えるためである。
- この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を
受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容
についての責任は最初に書いたように負わない。
- 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org,
hash@center.osaka-wu.ac.jp)
である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
- 関連文書は
ここにリストがある。
CERT® Advisory CA-2001-19
IISインデックスサービスDLLでバッファオーバフローを起こさせる "Code Red" ワーム
Original release date: July 19, 2001
Last revised: July 20, 2001
Source: CERT/CC
本文書の完全な更新履歴は末尾にある。
影響のあるシステム
Microsoft Windows NT 4.0並びにWindows 2000を動作させているシステムで
IIS 4.0ないしはIIS 5.0を使用しているもの。
概要
CERT/CCは新たな自己増殖型の悪意あるコードの報告を複数受けている。
これはCERT勧告
CA-2001-13 Buffer Overflow In IIS Indexing Service DLL;
その和訳版で記述された脆弱性を有するMicrosoft Windowsのある種の
設定に付けこむものである。CERT/CCが受け取った報告を総合すれば、
"Code Red"ワームは既に225,000ものホストに感染しており、さらに急速に
広まりつつある。
記述
"Code Red"ワームは自己複製機能を持った悪意あるコードでMicrosoft IISサーバ
で既知の脆弱性(
CA-2001-13(原文); その和訳)に付けこむ。
攻撃サイクル
"Code Red"ワームは次のように攻撃を展開する。
- "Code Red"ワームはウェブサーバを見つけようと任意に選んだホストの
ポート80/tcpに接続を試みる。ポート80/tcpにうまく接続できるとすぐに
攻撃側となるホストは犠牲となるホストに捏造した(crafted)HTTP GET
リクエストを送信しCERT勧告CA-2001-13;
その和訳版
で記述されたインデックスサービスのバッファオーバフローを引き起こそう
とする。
- このワームには自己を流布しようとする機能があるため、
この同じ攻撃(HTTP GETリクエスト)が任意に選ばれたホストすべてに送られる。
しかし、このリクエストを受け取ったホストの設定により、さまざまな結果が
見られる。
- IISサーバ4.0ならびに5.0でインデックス
サービスを有効にしているもの、ほぼ確実に"Code Red"ワームに
攻略されることになるであろう。
- 修正パッチを適用していないCisco 600シリーズ DSL ルータは
このHTTPリクエストを処理し、ルータがパケットをフォワーディングするのを
停止させてしまう今回とは別の脆弱性を引き起こすことになる。
[http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml]
- IISは使っていないが、ポート80/tcpを待ち受けてしているHTTPサーバがあるシステム
もおそらくこのHTTPリクエストを受け付けることがあり、
"HTTP 440 Bad Request"メッセージを返し、アクセスログにこのリクエストがあったことを
記録するであろう。
- この試みに成功すると、このワームは犠牲となるホスト上で動作し始める。
このワームの初期のものでは、犠牲となるホストのデフォルト言語が英語であれば、
サーバからリクエストを受けたすべてのページが次のように改竄された。
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
犠牲となるホストのデフォルト言語が英語以外の場合、または後になって
出てきたバージョンに感染したシステムの場合、改竄は起こらない。
この他のこのワームの活動は時刻によって変化する。つまり、システムクロック
の指す時刻(日付)に従って活動を変えるのである。
- 1 - 19日: 感染したホストはさらにこのワームを流布しようと
任意に選んだIPアドレスに対してポート80/tcpで接続を試みる。
- 20 - 27日: 特定のIPアドレスに対して、パケットを大量に送り込むサービス拒否
(DoS)攻撃を行なう。
- 28日〜月末: このワームは「死んだふり」をする。接続を試みたり、サービス拒否攻撃をしようとしたりはしない。
システム・フットプリント
"Code Red"ワームに感染しているかどうかは、犠牲となるマシン上で
IISのログファイルに次の文字列があるかどうかで分かる。
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a
さらに犠牲となるマシン上のウェブページは次のメッセージに改竄される。
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
このページのテキストはメモリ上にのみ存在し、ディスクには書き込まれない。
このため、このページのこのテキストをファイルシステム中で検索しても
この危険は検知できない。
ネットワーク・フットプリント
"Code Red"ワームの活動物(an active instance)が動作するホストは
ポート80/TCPでランダムにIPアドレスをスキャンし、さらに感染すべき
ホストを探す。
このワームについてさらに詳細な分析はeEye
Digital Security at http://www.eeye.com
が発行している。
影響
ウェブサイトの改竄に加えて、感染したシステムではこのワームがスキャンを
行なっているためにパフォーマンスが低下することになる。
"Code Red"ワームに感染した他ホストによってスキャンされるシステムや
ネットワークでまだ感染していないものも深刻なサービス拒否(DoS)に陥る
ことがある。このようなことが起こるのは、"Code Red"ワームの各発生事例
(instance)はスキャン用のIPアドレスリストを作成するのにまったく同一の
ランダム番号の生成種(generator seed)を利用するためである。このため、
犠牲となったホストはどれも同じIPアドレスをスキャンするのである。
さらに、"Code Red"ワームは一見、感染したシステム上のウェブページを
改竄し、他のシステムを攻撃するだけのように見えるが、このワームが
付け入ったIISインデックスサービスの脆弱性はローカルシステムのセキュリティ
コンテキストで任意のコードを実行するために利用できるという点に注意して
おくのは重要である。この特権レベルによって攻撃者は犠牲となるシステムを
完全に制御できることになるのである。
解決策
すべてのインターネットサイトがCERT勧告
CA-2001-13を再度閲覧し、そこで記されている回避策やパッチが自ネットワーク
内の該当するホストすべてに適用されているか確認するよう、CERT/CCは推奨する
ものである。
自分の管理下にあるホストが危険にさらされたと考える場合、次を参照せよ。
-
Steps for Recovering from a UNIX or NT System Compromise
-
(上記の和訳版) UNIXシステム、NTシステムが危険に曝された際に復旧するために取るべき処置 [ただし7/27日現在、準備中]
Appendix A. - ベンダ情報
この補遺ではこの勧告に対してベンダから提供された情報をまとめている。
ベンダが新たな情報をCERT/CCに報告した際は、このセクションを更新し、
更新履歴に変更点を示す。特定のベンダが以下にない場合は、そこから
のコメントを我々が受け取っていないということである。
Cisco Systems
Ciscoはこの脆弱性を報告するセキュリティ勧告を発行した。
-
http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml
Microsoft Corporation
"Code Red"ワームが付け入る脆弱性について次の文書がMicrosoftから入手できる。
:
-
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
報告
CERT/CCはこの行為についての報告を歓迎する。読者各位の管理下にある
マシンが危険にさらされた場合は、Subject行に"[CERT#36881]"を含めて
cert@cert.org
へメールを送られたし。
著者: Roman Danyliw and Allen Householder
この文書は次で入手できる。:
http://www.cert.org/advisories/CA-2001-19.html
CERT/CC Contact Information
Email: cert@cert.org
Phone: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
Postal address:
-
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4)
Monday through Friday; they are on call for emergencies during other
hours, on U.S. holidays, and on weekends.
Using encryption
We strongly urge you to encrypt sensitive information sent by
email. Our public PGP key is available from
If you prefer to use DES, please call the CERT hotline for more
information.
Getting security information
CERT publications and other security information are available from
our web site
To subscribe to the CERT mailing list for advisories and bulletins, send email to
majordomo@cert.org. Please include in the body of your
message
subscribe cert-advisory
* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.
NO WARRANTY
Any material furnished by Carnegie Mellon University and the
Software Engineering Institute is furnished on an "as is"
basis. Carnegie Mellon University makes no warranties of any kind,
either expressed or implied as to any matter including, but not
limited to, warranty of fitness for a particular purpose or
merchantability, exclusivity or results obtained from use of the
material. Carnegie Mellon University does not make any warranty of any
kind with respect to freedom from patent, trademark, or copyright
infringement.
Conditions for use, disclaimers, and sponsorship information
Copyright 2001 Carnegie Mellon University.
更新履歴
Jul 19, 2001: Initial release
Jul 20, 2001: Multiple variants, vendor information
この翻訳は橋本喜代太(hash@reasoning.org)が行った。
翻訳公開は原文を受け取ってから(訳者の使用しているPOPサーバに
メールが届いた時点であり、訳者自身がメールを見た時点ではない)
約6時間後である。
本和訳の改訂履歴
2001年7月20日午後2時30分 (JST) 初版公開
2001年7月27日午後4時5分(JST) 7月20日の原文更新に追従。特に「記述」セクションは
大幅に書き替わり、「ベンダ情報」セクションが追加された。
訳者並びに連絡先: 橋本喜代太
|