IIS 5.0과 6.0 버전에서 제공하는 FTP 서비스의 NLST 명령 처리기에서 스택 오버플로우 취약점이 발견되었습니다. milw0rm에 올라온 IIS 5.0 FTPd / Remote r00t exploit 익스플로잇을 참고하시기 바랍니다.

현재 Emerging Threats에서 공개된 스노트 룰은 150바이트 이상의 긴 SITE 명령을 탐지하게 되어있습니다.

# By Frank Knobbe
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (
msg:"ET EXPLOIT Possible IIS FTP Exploit attempt - Large SITE command";
flow:established,to_server; content:"SITE "; nocase; content:!"|0d 0a|"; within:150;
classtype:attempted-admin; reference:url,www.milw0rm.com/exploits/9541;
reference:url,doc.emergingthreats.net/2009828;
reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/EXPLOIT/EXPLOIT_IISFTP;
sid:2009828; rev:2;)

IIS로 FTP 서비스를 운영하고 계신다면 다른 FTP 서버로 바꾸거나, 임시로 FTP를 내려놓거나, 방화벽으로 신뢰할 수 있는 IP만 접속할 수 있도록 제한하실 것을 권고합니다.