不正侵入検知ソフトを迂回する攻撃(eEye Digital Security 社) | ScanNetSecurity
2021.09.27(月)

不正侵入検知ソフトを迂回する攻撃(eEye Digital Security 社)

 セキュリティ会社のeEye Digital Security 社は、Cisco 社のIDS(不正侵入検知ソフト)技術の他にもIIS Webサーバを防護する機能に脆弱性のあるIDS製品が存在することを明らかにした。脆弱性が指摘されたIDSは、ISS、Dragon Sensor 4.x、Snort(バージョン1.8.1以前)

国際 海外情報
 セキュリティ会社のeEye Digital Security 社は、Cisco 社のIDS(不正侵入検知ソフト)技術の他にもIIS Webサーバを防護する機能に脆弱性のあるIDS製品が存在することを明らかにした。脆弱性が指摘されたIDSは、ISS、Dragon Sensor 4.x、Snort(バージョン1.8.1以前)、Cisco Secure IDSコンポーネントのネットワークおよびサーバセンサーだ。Cisco 社は、同社のSecure IDS 製品の改良を発表した翌日、同脆弱性の関する警告を顧客に通知した。

 eEye Digital Security 社の報告書によると、非標準のエンコーディング方法であるhtml要求エンコーディング('%u'と呼ばれている)は、MicrosoftのIISはサポートしているがIDSはデコードできない。つまり、IDSは、そのエンコーディング方法を利用した攻撃に対しチェック機能が働かない。実際問題として、攻撃者はがIDSを迂回するため、'%u' Unicodeエンコーディングを使って要求をエンコードしウェブベース攻撃を修正する。このような混乱が発生する一因に、MicrosoftのIISがhtmlの非標準デコードを許可していることが挙げられる。(例えば、Apacheサーバはこの問題の影響を受けない)

 IDS検知の回避は攻撃の第一段階に過ぎない、と同報告書は指摘する。第二段階はISS Webサーバへの攻撃である。システム管理者は最新版のセキュリティ・パッチを充てることで、容易にそれらの攻撃を阻止することができる。しかし、残念なことに、多数の企業は未だセキュリティ・パッチのインストールに関し無頓着だ。ネットワーク・トラフィックを検査し、疑わしいパケットの検出に警告を発するIDS製品は、IIS Webサーバ防護の二次的手段として使用されるべきだ。

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×