PR

 セキュリティ・ベンダーである米Internet Security Systems(ISS)および 米eEye Digital Security(eEye) は米国時間9月5日,いくつかの商用およびフリーの侵入検知システム(IDS)に弱点が存在することを明らかにした。マイクロソフトのWebサーバー・ソフト「Intenet Information Server/Services(IIS)」に対する,ある特定の攻撃を検知できない恐れがある。対策は,パッチの適用やバージョンアップである。

 なお,攻撃自体は既知のものなので,IDS が検知できなくても,IIS に適切な設定やパッチを施しておけば,不正アクセスを受けることはない。ただし,IDSによる監視が万全ではないと言う意味で,注意すべき問題である。

 ISS および eEye によれば,影響を受けることが確認されているのは以下のIDS である。

  • Cisco Secure Intrusion Detection System(旧 NetRanger, Sensor component)
  • Cisco Catalyst 6000 Intrusion Detection System Module
  • Dragon Sensor 4.x
  • ISS RealSecure Network Sensor(XPU 3.2 より前の 5.x および 6.x)
  • ISS RealSecure Server Sensor 5.5/6.0 for Windows
  • Snort バージョン 1.8.1 未満

 両社によると,これら以外の IDS の多くも同様の弱点があるとしているので,ベンダーなどに確認する必要がある。なお,「BlackICE」にはこの弱点は存在しない。

 弱点を持つ IDS が検知できないのは,Unicode(eEyeでは「%u エンコーディング」としている)でエンコードされた,URL リクエストによる攻撃である。IIS には,URL としてある特定のリクエストを送られると,サーバー上で任意のコマンドやコードを実行されてしまうセキュリティ・ホールが複数発見されている。

 このようなセキュリティ・ホールを突く攻撃を検知するために,IDS は送られてくるリクエストの中身をチェックする。ところが,URL リクエストが Unicode でエンコーディングされていると,適切に解釈(デコード)できず,チェックをすり抜けてしまうというのだ。

 eEye では,Code Red ワームの攻撃を例に挙げて説明している。Code Red は攻撃に URL リクエストを使用する。そのリクエストには,「.ida」という文字列が含まれることが特徴の1つである。そのため,IDS は「.ida」という文字列の有無で,Code Red による攻撃かどうかを判断しているとする。

 ここで仮に,攻撃リクエストが「himon.ida」だったとする。監視対象サイトを「www.victim.com」とすると,URL としては,

http://www.victim.com/himon.ida

Webサーバーが受け取る HTTP リクエストは,

GET /himon.ida HTTP/1.0

となる。

 このリクエストがそのまま送られた場合には,当然 IDS は検知できる。問題は,リクエストが Unicode でエンコードされた場合である。

例えば,リクエスト最後の「a」だけをエンコードして,

GET /himon.id%u0061 HTTP/1.0

とした場合,IDS は「himon.ida」と解釈できないために,攻撃とは認識しない。ところが,IIS がこのリクエストを受け取ると,「GET /himon.ida HTTP/1.0」と解釈して必要な処理を行う。その結果,セキュリティ・ホールをふさいでいない場合には,被害を受けることになる。

 問題は,UnicodeでエンコードされたURL(ASCII文字)を,IIS は解釈できるが,いくつかの IDS は解釈できないことにある。IDS が サポートしていない理由としては,URL のエンコード方式として通常使用されるのは,(1)UTF(「%xx%xx」の形式)あるいは (2)16進数(「%xx」の形式)であるからだ(「xx」はいずれも16進数)。

 対策はパッチの適用か,バージョンアップ。いくつかのベンダーは今回の弱点についての情報やパッチを公開しているので,以下の URL を参照してほしい。

◎参考資料
Multiple Vendor IDS Unicode Bypass Vulnerability(米Internet Security Systems)
%u encoding IDS bypass vulnerability(米eEye Digital Security)

(勝村 幸博=IT Pro編集)