YAMAHA RTシリーズに関連する話題

CodeRedに関する公開情報

[ 概要 ]

• www.rtpro.yamaha.co.jpへの足跡
  (WWWサーバのログに)CodeRedはどんな足跡を残してゆくのか？
• www.rtpro.yamaha.co.jpのアクセス記録
  CodeRedはどれぐらい活動しているのか？
• 傾向とRTシリーズ対策
  
• Code Red ワームに関するセキュリティ情報
  
• マイクロソフト社によるIISのCodeRed対策情報
  
• 関連FAQ
  

[ www.rtpro.yamaha.co.jpへの足跡 ]

• CodeRedからのHTTPの要求メッセージ内容 (表示のため50文字で改行)

  GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6 858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u685 8%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

• CodeRedIIからのHTTPの要求メッセージ内容 (表示のため50文字で改行)

  GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6 858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u685 8%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00% u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

[ CodeRedからのアクセス記録 ]

• 集計内容について

  www.rtpro.yamaha.co.jpの足跡のパターンの 「あるひとつのグローバルIPアドレス(www.rtpro.yamaha.co.jp)を対象としたCodeRedの増殖活動」 を集計しました。
  

  CodeRedIIは、Nimda(ニムダ)に置き代るのではないかとも 思えるのですが、2001年10月1日の段階でも増植活動をしている 気配があります。
  Nimdaなどを含めまして、身の回りの再確認をお願いします。

• 2001年9月のアクセス件数(縦軸:件数,横軸:日)

  

• 2001年8月のアクセス件数(縦軸:件数,横軸:日)

  

• 2001年7月のアクセス件数(縦軸:件数,横軸:日)

  

[ 傾向とRTシリーズ対策 ]

• ルータよりも、まず、IIS。

  CodeRedは、IISを狙ったワームです。
  例え、CodeRedが侵入しても、IISに適切な処置がされていれば、 イントラネット内の損害や第三者への危害を防ぐことができます。
  IISを使ってWWWサーバを立ち上げている方は、必ず、確認＆処置してください。

  →マイクロソフト社によるIISのCodeRed対策情報

• WWWサーバ機能を持ったルータ

  RT80i、およびRTA50iの初期リビジョンのWWWサーバ機能には、 「WWWサーバ機能の脆弱性に関する情報」の問題があり、 CodeRedの増殖活動の対象になったとき、ルータがリスタートするなど の問題が発生することがあります。
  該当する機種(RT80iとRTA50i)をご利用のユーザは、 「WWWサーバ機能の脆弱性に関する情報」で指定されたファームウェアへリビジョンアップ(更新)することをお薦め致します。

  →WWWサーバ機能の脆弱性に関する情報

• CodeRedが増殖している時のネットワーク
  • CodeRedの増殖活動が活発になっているネットワークは、 非常に高負荷になり、正常な通信ができなくなる場合が あります。
    
  • アドレス変換機能(NATやIPマスカレード)の管理テーブルが 溢れることにより、通信不能になるなどの可能性も考えられます。
  • 自ネットワークが、外部のCodeRedが増植活動の対象とされてしまった場合、 攻撃が激しい(急速に増植している)場合には、CodeRedによるトラフィックで、 回線や通信機器の負荷が高くなり、パンク状態になる場合もあります。

• インターネット接続用ルータ

  CodeRedが入らないように戸締りを厳重にしておくことも重要ですが、 万が一自ネットワークが犯された場合にCodeRedが外部に危害を与えない ような処置もあると良いですね。
  

  対策例

  1. インターネット接続用ルータでIISからインターネットへの HTTP接続をフィルタで禁止しておく。(SYNパケットに注目)
     
  2. キャッシュサーバやファイアウォールなどにCodeRed対策機能が あれば、利用する。

• インターネット接続用ルータで、IIS発のSYNパケットを破棄するフィルタ例

  設定の方針:
  公開WWWサーバ(IIS,192.168.0.2)からルータを経由して他のWWWサーバへアクセスする ことを禁止する。TCPのsynパケットをルータのLAN側で破棄する。

  公開WWWサーバ(IIS,192.168.0.2)のWWWサーバへの接続要求のパケットをルータのLAN側で破棄す るフィルタ記述例

  ip filter 1 pass 192.168.0.2 * established www * ip filter 2 reject 192.168.0.2 * tcp www * ip filter 3 pass * * * * *

  ip lan secure filter in 1 2 3

  tcpflag機能を実装している場合のフィルタ記述例

  • RT52pro: Rev.4.02.07 機能追加[6]

  ip filter 1 reject 192.168.0.2 * tcpflag=0x0002/0x00ff www * ip filter 2 pass * * * * *

  ip lan secure filter in 1 2

[ Code Red ワームに関するセキュリティ情報 ]

• IPA/ISEC(セキュリティセンター)
  • http://www.ipa.go.jp/security/ciadr/vul/checkcoderedII.html
    Code Red II の感染の確認方法について
    
  • http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html
    今すぐチェックを「Code Red ワームに関する情報」
    
  • http://www.ipa.go.jp/security/ciadr/vul/200106iisidxsvr.htm
    Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される問題について
    
• CERT
  • http://www.cert.org/advisories/CA-2001-23.html
    CERT Advisory CA-2001-23 Continued Threat of the "Code Red" Worm ()
  • http://www.cert.org/incident_notes/IN-2001-09.html
    CERT Incident Note IN-2001-09, "Code Red II:"
    Another Worm Exploiting Buffer Overflow In IIS Indexing Service DLL
• JPCERT
  • http://www.jpcert.or.jp/at/2001/at010020.txt
    緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II"
  • http://www.jpcert.or.jp/at/2001/at010019.txt
    "Code Red" Worm の変種に関する注意喚起
  • http://www.jpcert.or.jp/at/2001/at010018.txt
    Microsoft IIS の脆弱性を使って伝播するワーム
  • http://www.jpcert.or.jp/at/2001/at010013.txt
    .ida "Code Red" Worm infecting Microsoft IIS Server

[ マイクロソフト社によるIISのCodeRed対策情報 ]

• http://www.microsoft.com/japan/technet/security/codealrt.asp
  緊急 : Code Red ワームに対する警告
  - 至急修正プログラムをインストールして下さい。-
• http://www.microsoft.com/japan/technet/security/codeptch.asp
  Code Red による深刻な問題に対する防護策と対処方法についての説明
• http://www.microsoft.com/japan/technet/security/codestep.asp
  Windows 2000 Professional 用 Code Red ワーム対策ガイド
• http://www.microsoft.com/japan/technet/security/redfix.asp
  Code Red II ワームの既知の影響を排除するツール

[ 関連FAQ ]

• TCP/IPのFAQ
  • WWWサーバ機能の脆弱性

[ FAQ for RT-Series ]
[ FAQ for TOPIC / files ]