viernes, 18 de abril de 2003

Nueva vulnerabilidad en Snort

Detectada una vulnerabilidad que permitiría a un atacante remoto
ejecutar código con los mismos privilegios que Snort, típicamente
root.

Snort es uno de los IDS (Sistema de Detección de Intrusiones) más
extendidos. Distribuido de forma gratuita como Open Source, Snort
puede detectar múltiples ataques basándose en el análisis de los
paquetes según unas bases de datos de firmas de ataques conocidos
y reglas genéricas.

Ya el pasado 8 de marzo nos hacíamos eco en "una-al-día" del
desbordamiento de buffer en el módulo que realiza el preproceso de
RPCs, que también permitía su explotación para ejecutar código
arbitrario de forma remota.

En esta ocasión el módulo afectado es el preprocesador stream4,
que permite a Snort ensamblar paquetes TCP antes de ser analizados,
función muy útil en la detección de ataques especialmente diseñados
para evadir a los IDS. Los detalles de la vulnerabilidad, junto a
un exploit a modo de prueba de concepto, pueden ser encontrados en
el aviso de Core.

Las versiones de Snort afectadas comprenden desde la 1.8 hasta las
anteriores a la 2.0, versión esta última donde se ha corregido el
problema (http://www.snort.org/dl/snort-2.0.0.tar.gz). Los usuarios
de cajas negras (appliances) como Network Sensor de SourceFire,
SecurNet PDS y otras, que utilizan entre otros componentes Snort,
deberían contactar con el soporte o distribuidor de las mismas para
verificar si es necesario actualizarlas.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Desbordamiento de búfer en Snort
http://www.hispasec.com/unaaldia/1595

Snort(TM) Advisory: Integer Overflow in Stream4
http://www.snort.org/advisories/snort-2003-04-16-1.txt

Multiple Vulnerabilities in Snort Preprocessors
http://www.cert.org/advisories/CA-2003-13.html

Snort TCP Stream Reassembly Integer Overflow Vulnerability
http://www.coresecurity.com/common/showdoc.php?idx=313&idxseccion=10