セキュリティ・ベンダーである米Internet Security Systems(ISS)および 米eEye Digital Security(eEye) は米国時間9月5日,いくつかの商用およびフリーの侵入検知システム(IDS)に弱点が存在することを明らかにした。マイクロソフトのWebサーバー・ソフト「Intenet Information Server/Services(IIS)」に対する,ある特定の攻撃を検知できない恐れがある。対策は,パッチの適用やバージョンアップである。
なお,攻撃自体は既知のものなので,IDS が検知できなくても,IIS に適切な設定やパッチを施しておけば,不正アクセスを受けることはない。ただし,IDSによる監視が万全ではないと言う意味で,注意すべき問題である。
ISS および eEye によれば,影響を受けることが確認されているのは以下のIDS である。
- Cisco Secure Intrusion Detection System(旧 NetRanger, Sensor component)
- Cisco Catalyst 6000 Intrusion Detection System Module
- Dragon Sensor 4.x
- ISS RealSecure Network Sensor(XPU 3.2 より前の 5.x および 6.x)
- ISS RealSecure Server Sensor 5.5/6.0 for Windows
- Snort バージョン 1.8.1 未満
両社によると,これら以外の IDS の多くも同様の弱点があるとしているので,ベンダーなどに確認する必要がある。なお,「BlackICE」にはこの弱点は存在しない。
弱点を持つ IDS が検知できないのは,Unicode(eEyeでは「%u エンコーディング」としている)でエンコードされた,URL リクエストによる攻撃である。IIS には,URL としてある特定のリクエストを送られると,サーバー上で任意のコマンドやコードを実行されてしまうセキュリティ・ホールが複数発見されている。
このようなセキュリティ・ホールを突く攻撃を検知するために,IDS は送られてくるリクエストの中身をチェックする。ところが,URL リクエストが Unicode でエンコーディングされていると,適切に解釈(デコード)できず,チェックをすり抜けてしまうというのだ。
eEye では,Code Red ワームの攻撃を例に挙げて説明している。Code Red は攻撃に URL リクエストを使用する。そのリクエストには,「.ida」という文字列が含まれることが特徴の1つである。そのため,IDS は「.ida」という文字列の有無で,Code Red による攻撃かどうかを判断しているとする。
ここで仮に,攻撃リクエストが「himon.ida」だったとする。監視対象サイトを「www.victim.com」とすると,URL としては,
http://www.victim.com/himon.ida
Webサーバーが受け取る HTTP リクエストは,
GET /himon.ida HTTP/1.0
となる。
このリクエストがそのまま送られた場合には,当然 IDS は検知できる。問題は,リクエストが Unicode でエンコードされた場合である。
例えば,リクエスト最後の「a」だけをエンコードして,
GET /himon.id%u0061 HTTP/1.0
とした場合,IDS は「himon.ida」と解釈できないために,攻撃とは認識しない。ところが,IIS がこのリクエストを受け取ると,「GET /himon.ida HTTP/1.0」と解釈して必要な処理を行う。その結果,セキュリティ・ホールをふさいでいない場合には,被害を受けることになる。
問題は,UnicodeでエンコードされたURL(ASCII文字)を,IIS は解釈できるが,いくつかの IDS は解釈できないことにある。IDS が サポートしていない理由としては,URL のエンコード方式として通常使用されるのは,(1)UTF(「%xx%xx」の形式)あるいは (2)16進数(「%xx」の形式)であるからだ(「xx」はいずれも16進数)。
対策はパッチの適用か,バージョンアップ。いくつかのベンダーは今回の弱点についての情報やパッチを公開しているので,以下の URL を参照してほしい。
- Cisco Secure Intrusion Detection System Signature Obfuscation Vulnerability(米Cisco Systems)
- Multiple Vendor IDS Unicode Bypass Vulnerability(米Internet Security Systems)
- Enterasys Dragon Support Site Access(米Enterasys Networks)
- Snort(Snort 1.8.1 のダウンロード・サイト)
◎参考資料
◆Multiple Vendor IDS Unicode Bypass Vulnerability(米Internet Security Systems)
◆%u encoding IDS bypass vulnerability(米eEye Digital Security)