domingo, 25 de febrero de 2007

Ejecución de código a través de DCE/RPC en Snort 2.x

Se ha encontrado un fallo en Snort que pude ser aprovechado por atacantes para ejecutar código arbitrario.

Snort es uno de los IDS (Sistema de Detección de Intrusiones) más extendidos. Distribuido de forma gratuita como Open Source, Snort puede detectar un gran número de patrones de ataque conocidos basándose en el análisis de los paquetes de red según unas bases de datos de firmas, además de reglas genéricas.

El fallo se debe a un error de límites en el preprocesador DCE/RPC a la hora de resensamblar peticiones SMB Write AndX. Esto puede ser aprovechado para provocar un desbordamiento de memoria intermedia si se envía un paquete especialmente manipulado a la red y es monitorizado por Snort.

El fallo se ha confirmado en las versiones Snort 2.6.1, 2.6.1.1, 2.6.1.2 y Snort 2.7.0 beta 1. El problema también afecta a Sourcefire Intrusion Sensor versiones 4.1, 4.5 y 4.6

Se recomienda actualizar a la versión: 2.6.1.3 disponible desde:
http://www.snort.org/dl/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Sourcefire Advisory: Vulnerability in Snort DCE/RPC Preprocessor
http://www.snort.org/docs/advisory-2007-02-19.html

Sourcefire Snort Remote Buffer Overflow
http://www.iss.net/threats/257.html