不正侵入検知ソフトを迂回する攻撃(eEye Digital Security 社) | ScanNetSecurity
2022.11.29(火)

不正侵入検知ソフトを迂回する攻撃(eEye Digital Security 社)

 セキュリティ会社のeEye Digital Security 社は、Cisco 社のIDS(不正侵入検知ソフト)技術の他にもIIS Webサーバを防護する機能に脆弱性のあるIDS製品が存在することを明らかにした。脆弱性が指摘されたIDSは、ISS、Dragon Sensor 4.x、Snort(バージョン1.8.1以前)

国際 海外情報
 セキュリティ会社のeEye Digital Security 社は、Cisco 社のIDS(不正侵入検知ソフト)技術の他にもIIS Webサーバを防護する機能に脆弱性のあるIDS製品が存在することを明らかにした。脆弱性が指摘されたIDSは、ISS、Dragon Sensor 4.x、Snort(バージョン1.8.1以前)、Cisco Secure IDSコンポーネントのネットワークおよびサーバセンサーだ。Cisco 社は、同社のSecure IDS 製品の改良を発表した翌日、同脆弱性の関する警告を顧客に通知した。

 eEye Digital Security 社の報告書によると、非標準のエンコーディング方法であるhtml要求エンコーディング('%u'と呼ばれている)は、MicrosoftのIISはサポートしているがIDSはデコードできない。つまり、IDSは、そのエンコーディング方法を利用した攻撃に対しチェック機能が働かない。実際問題として、攻撃者はがIDSを迂回するため、'%u' Unicodeエンコーディングを使って要求をエンコードしウェブベース攻撃を修正する。このような混乱が発生する一因に、MicrosoftのIISがhtmlの非標準デコードを許可していることが挙げられる。(例えば、Apacheサーバはこの問題の影響を受けない)

 IDS検知の回避は攻撃の第一段階に過ぎない、と同報告書は指摘する。第二段階はISS Webサーバへの攻撃である。システム管理者は最新版のセキュリティ・パッチを充てることで、容易にそれらの攻撃を阻止することができる。しかし、残念なことに、多数の企業は未だセキュリティ・パッチのインストールに関し無頓着だ。ネットワーク・トラフィックを検査し、疑わしいパケットの検出に警告を発するIDS製品は、IIS Webサーバ防護の二次的手段として使用されるべきだ。

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/12~11/30迄 創刊24周年記念価格提供中★★
★★10/12~11/30迄 創刊24周年記念価格提供中★★

2022年10月12日(水)~11月30日(水) の間 ScanNetSecurity 創刊24周年記念価格で提供。

×