お客様各位 2001.08.09 初版 2002.05.01 改版 アライドテレシス株式会社 当社製ルータ AR シリーズをご使用のお客様へ (AR ルータにおける Code Red ワーム対策) ■ AR ルータと Code Red 8 月 1 日頃から当社製ルータ AR シリーズをご使用中のお客様から以下の問 い合わせが増えております。 ● AR ルータがリブートする。 ● AR ルータがハングアップする。 ● AR ルータを介した通信が遅くなる。 ● AR ルータの Log に DirBcast Fail ... が表示される。 ● AR ルータの Log に CRUSH Router startup ... が表示される。 本件についてですが、お客様の環境の聞き取りや当社での確認の結果から、 最近猛威をふるう Code Red ワームの可能性が高いのではないかと結論つけ ました。 以下に対策を提示しますので、該当機種をご使用のお客様で、先記の症状で ひとつでも確認された場合には、以下のコマンドを AR ルータに実施してく ださい。 ■ AR ルータシリーズの状況と対策方法のご案内 AR100 ------ 現在被害報告なし。(*2) AR130 ------ 先記した被害報告をいくつか受けております。 (*1) AR160 ------ 先記した被害報告をいくつか受けております。 (*1) AR220E ----- 現在被害報告なし。ただし DMZ(非武装地域)で使用してい るお客様は、設置しているサーバの調査をお勧めします。 AR300 ------ 現在被害報告なし。(*2) AR300L ----- 現在被害報告なし。(*2) AR300 V2 --- 先記した被害報告をいくつか受けております。 (*1) AR300L V2 -- 先記した被害報告をいくつか受けております。 (*1) AR320 ------ 先記した被害報告をいくつか受けております。 (*1) AR720 ------ 先記した被害報告をいくつか受けております。 (*1) AR740 ------ 先記した被害報告をいくつか受けております。 (*1) (*1): 先記した現象が確認されることはありますが、本体の故障やその他ト ラブルが併発するようなことはございません。 (*2): Port #80 宛のパケットは廃棄することになってますので問題ござい ません。 ■対策用コマンドの紹介 次のコマンドを投入してください。 disable http server create config=xxx.cfg (*3) restart router (*3): お客様がご使用になられている AR ルータで有効になってい るファイル名をご指定ください。 現在有効になっているファイル名は、次のコマンドで確認で きます。 show config コマンド実行後に次のように表示されるものが、現在有効と なっているファイル名が確認できます。 Boot configuration file: swe.cfg (exists) Current configuration: swe.cfg ここでご紹介さしあげたコマンドは AR130, AR160, AR300 V2, AR300L V2, AR320, AR720, AR740 でご使用いただけます。 ■ Firmware 等を含んだ対策について AR300 V2 --- ファームウエア Ver.2.0.4 PL 7 にて対策をいたしました。 AR300L V2 -- ファームウエア Ver.2.0.4 PL 7 にて対策をいたしました。 AR320 ------ ファームウエア Ver.2.0.4 PL 7 にて対策をいたしました。 AR720 ------ ファームウエア Ver.2.0.7 PL 4 にて対策をいたしました。 AR740 ------ ファームウエア Ver.2.0.7 PL 4 にて対策をいたしました。 上記製品につきましては、最新のファームウエアをご利用頂くようお願い致します。 なお 他製品につきましては、現在社内調整中です。ご迷惑おかけいたしますが、 対策方法を含めてお客様に は当社ホームページを使用してご連絡さしあげます。 ■さいごに。 Code Red はマイクロソフト社が提供しているセキュリティパッチをあててい ない Microsoft Internet Information Server (IIS)に感染します。日付に応 じて動作モードが変わり、その動作によっては AR ルータやその他のルータの テーブル破壊から動作不良となることも考えられます。IIS を使って WWW サ ーバを立ち上げている方は、一度確認してみることをお勧めいたします。 また Windows 2000 をご使用のお客様は OS インストール時に自動的に IIS が 選択され起動していることもございます。Windows 2000 をご使用のお客様にお かれましては一度確認してみることをお勧めいたします。 □□ Code Red ワームに関する情報 □□ http://www.ipa.go.jp/security/ciadr/vul/20010727codered.html 是非とも確認を。「Code Red ワームに関する情報」 (IPA) http://www.microsoft.com/japan/technet/security/codealrt.asp 「緊急 : Code Red ワームに対する警告」(Microsoft) http://www.microsoft.com/japan/technet/security/codeptch.asp 「Code Red ワームを阻止する修正プログラムのインストール」(Microsoft) http://www.cert.org/advisories/CA-2001-23.html CERT Advisory CA-2001-23 Continued Threat of the "Code Red" Worm (CERT) http://www.jpcert.or.jp/at/2001/at010018.txt Microsoft IIS の脆弱性を使って伝播するワーム (JPCERT) http://www.jpcert.or.jp/at/2001/at010013.txt .ida "Code Red" Worm infecting Microsoft IIS Server (JPCERT) □□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□ □□ お客様からの情報もしくは当社で確認している AR ルータのログ □□ □□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□ 以下に記載する情報の対象ルータ:AR130, AR160, AR300 V2, AR300L V2, AR320, AR720, AR740 となります。 注意)ここに記載するログは当社への問い合わせの中で Code Red の影響を受け ている可能性の高いものの抜粋であり、正常に動作している AR ルータに 記録されるログと同じものもございます。また、Code Red 以外の影響( 攻撃)を受けている可能性もありますので、必ずしも”対策”が有効とな りえない場合もございます。 また、以下のログ確認時に”対策”コマンド投入後においても AR ルータ に記録されることがあります。攻撃への対策は行えておりますが、攻撃を 止めるということではございませんので、ご了承ください。 お客様先で確認された時には、まず対策として記述されているコマンドを 投入していただき、お客様先の WWW サーバを中心にチェックをお願いい たします。 1.HTTP 関連ログ 動作不調後に AR ルータのログを確認すると、以下の表示が確認された。 電源再投入を繰り返しても何度も確認される。という報告が多い。 HTTP HTTP ERROR No free HTTP sessions - rejecting connection from xxx.xxx.xxx.xxx 上記 xxx.xxx.xxx.xxx は IP address が表記されています。 対策)"disable http server" コマンドの投入で現象回避の報告を受けて おります。 2.ダイレクト・ブロードキャスト関連ログ 動作不調後に AR ルータのログを確認すると、以下の表示が確認された。 電源再投入を繰り返しても何度も確認される。という報告が多い。 DirBcast Fail xxx.xxx.xxx.xxx>xxx.xxx.xxx.xx1 Prot=6 Int=eth0 上記 xxx.xxx.xxx.xxx は IP address が表記されています。 対策)"disable http server" コマンドの投入で現象回避の報告を受けて おります。 3."show tcp"コマンドでの確認したログ 動作不調後に AR ルータの "show tcp" コマンド実行時に、以下の表示が 確認された。 Connection Table: Index State Local port and address Remote port and address ---------------------------------------------------------------------- 00 finWait2 00080 xxx.xxx.xxx.xxx 04159 xxx.xxx.xxx.yyy 01 listen 05025 0.0.0.0 00000 0.0.0.0 02 listen 00515 0.0.0.0 00000 0.0.0.0 03 listen 00080 0.0.0.0 00000 0.0.0.0 04 established 00080 xxx.xxx.xxx.xx0 02584 xxx.xxx.xxx.xx3 05 established 00080 xxx.xxx.xxx.xx0 02123 xxx.xxx.xxx.xx4 06 established 00080 xxx.xxx.xxx.xx1 01974 xxx.xxx.xxx.xx5 Index 04 - 06 の類似内容が 300 行程度表記されていた。 上記 xxx.xxx.xxx.xxx は IP address が表記されています。 対策)"disable http server" コマンドの投入で現象回避の報告を受けて おります。 4.勝手に再起動後のログ AR ルータの意図しない再起動を目視確認できた時の AR ルータのログに、 以下の表示が確認された。 Unexpected Exception $***/Illegal instruction Address $******** Unexpected Exception $***/Exception Address $******** Unexpected Exception $***/Watchdog timer Address $******** Unexpected Exception $***/Bus error Address $******** 対策)"disable http server" コマンドの投入で現象回避の報告を受けて おります。 補足)AR300 V2 / AR300L V2 / AR320 では、"restart reboot"コマンドに よって、意図的にリブートさせることができます。 その場合、以下のログが表記され Code Red が原因と思われる時と 表記内容が異なりますので、お間違いのないようご注意ください。 == Code Red の影響で Reboot 確認時(例) == REST CRASH Router startup, ver 1.9.3-00, 03-Jul-2000, Clock Log: 09:26:29 on 03-Aug-2001 EXCEP 01024 Unexpected Exception $400/Exception Address $0002716c ^^^^^^^^^^^^^^ == Restart Reboot コマンド実行時 == REST CRASH Router startup, ver 1.9.1-00, 01-Mar-2000, Clock Log: 17:58:52 on 14-Mar-2000 EXCEP TRAP1 Unexpected Exception $084/Trap #1 * RESTART * Address $0004f056 ^^^^^^^^^^^^^^^^^^^^^^^^ 先記したものと記録された表記が異なりますので、ご確認ください。 以上 |