不正侵入検知ソフトを迂回する攻撃(eEye Digital Security 社) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.21(金)

不正侵入検知ソフトを迂回する攻撃(eEye Digital Security 社)

 セキュリティ会社のeEye Digital Security 社は、Cisco 社のIDS(不正侵入検知ソフト)技術の他にもIIS Webサーバを防護する機能に脆弱性のあるIDS製品が存在することを明らかにした。脆弱性が指摘されたIDSは、ISS、Dragon Sensor 4.x、Snort(バージョン1.8.1以前)

国際 海外情報
 セキュリティ会社のeEye Digital Security 社は、Cisco 社のIDS(不正侵入検知ソフト)技術の他にもIIS Webサーバを防護する機能に脆弱性のあるIDS製品が存在することを明らかにした。脆弱性が指摘されたIDSは、ISS、Dragon Sensor 4.x、Snort(バージョン1.8.1以前)、Cisco Secure IDSコンポーネントのネットワークおよびサーバセンサーだ。Cisco 社は、同社のSecure IDS 製品の改良を発表した翌日、同脆弱性の関する警告を顧客に通知した。

 eEye Digital Security 社の報告書によると、非標準のエンコーディング方法であるhtml要求エンコーディング('%u'と呼ばれている)は、MicrosoftのIISはサポートしているがIDSはデコードできない。つまり、IDSは、そのエンコーディング方法を利用した攻撃に対しチェック機能が働かない。実際問題として、攻撃者はがIDSを迂回するため、'%u' Unicodeエンコーディングを使って要求をエンコードしウェブベース攻撃を修正する。このような混乱が発生する一因に、MicrosoftのIISがhtmlの非標準デコードを許可していることが挙げられる。(例えば、Apacheサーバはこの問題の影響を受けない)

 IDS検知の回避は攻撃の第一段階に過ぎない、と同報告書は指摘する。第二段階はISS Webサーバへの攻撃である。システム管理者は最新版のセキュリティ・パッチを充てることで、容易にそれらの攻撃を阻止することができる。しかし、残念なことに、多数の企業は未だセキュリティ・パッチのインストールに関し無頓着だ。ネットワーク・トラフィックを検査し、疑わしいパケットの検出に警告を発するIDS製品は、IIS Webサーバ防護の二次的手段として使用されるべきだ。

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×