Se ha descubierto una vulnerabilidad en múltiples sistemas de detección
de intrusos tanto comerciales como open-source que puede permitir a los
atacantes evadir la detección.
Unicode proporciona un estándar para representar caracteres
internacionales mediante la asignación de un número único para cada
carácter. Esto abarca el repertorio de caracteres de los conjuntos más
empleados como ASCII, ANSI, ISO-8859, cirílico, griego, chino, japonés y
coreano. La codificación unicode de caracteres ASCII puede emplearse
para ocultar la apariencia de una petición HTTP, manteniendo toda sus
funcionalidades.
Esto permite a los atacantes camuflar el payload empleado en un exploit
y evadir la detección. La primera de las principales vulnerabilidades
fue documentada contra Microsoft Internet Information Server (IIS) en
octubre del año 2000. Esta vulnerabilidad permitía a los atacantes
codificar los caracteres «/», «\» y «.» como su equivalente en unicode y
traspasar los mecanismos de seguridad de IIS para bloquear la escalada
de directorios.
La codificación unicode puede emplearse para evadir la detección de los
sistemas de detección de intrusos debido a un fallo en Microsoft IIS que
acepta e interpreta caracteres unicode no estándar.
Ejemplo:
La siguiente petición HTML, corresponde a un GET realizado de forma
estándar:
GET /attack.html HTTP/1.0
La siguiente muestra la misma petición, mediante una petición igualmente
válida, pero con la representación de carácter unicode en lugar de la
letra k:
GET /attac%u006b.html HTTP/1.0
Esta petición emplea una forma no estándar de Unicode, conocida como
«codificación %u». Este tipo de codificación puede emplearse de forma
efectiva para sortear múltiples firmas de IDS para vulnerabilidades
específicas para sistemas IIS.
Este problema afecta a los siguientes productos afectados:
Cisco Secure Intrusion Detection System
(conocido como NetRanger, componente Sensor)
Cisco Catalyst 6000 Intrusion Detection System Module
Dragon Sensor 4.x
ISS RealSecure Network Sensor 5.x y 6.x anterior a XPU 3.2
ISS RealSecure Server Sensor 6.0 para Windows
ISS RealSecure Server Sensor 5.5 para Windows
Snort anterior a 1.8.1
ISS X-Force ha incluido un parche para esta vulnerabilidad en RealSecure
Network Sensor X-Press Update 3.2, que puede descargarse de
http://www.iss.net/db_data/xpu/RS.php
Las actualizaciones para los productos ISS afectados pueden descargarse
de:
http://www.iss.net/eval/eval.php
BlackICE no está afectado por este problema.
En Cisco Secure Intrusion Detection System Sensor esta vulnerabilidad
queda reparada con el service pack 3.0(2)S6 para dicho producto, que
será incluido en todas las versiones posteriores. Este service pack
esta actualmente en fase BETA hasta que la fase de pruebas quede
completada; sin embargo, debido a notificación pública de la
vulnerabilidad Cisco ofrece el parche para descarga en la siguiente
dirección:
ftp://ftp-eng.cisco.com/csids-sig-updates/ServicePacks/IDSk9-sp-3.0-1.42-S6-0.42-.bin
Para el módulo de detección de intrusos de los Cisco Catalyst 6000
esta vulnerabilidad quedará reparada con el service pack 3.0. La
detección de esta forma de esconder los ataques será incluida en la
versión 3.0 que será publicada en octubre de este año.
Dragon Sensor 4.x también se ve afectado por el problema, sin
embargo ya están disponibles las firmas para detectar esta nueva
forma de codificar los ataques. Por su parte Snort 1.8.1 corrige
este problema que afecta a las versiones anteriores del producto.
antonior@hispasec.com
Más información:
Alerta ISS (Internet Security Systems):
http://www.eeye.com/html/Research/Advisories/AD20010705.html
Aviso de seguridad de Cisco:
http://www.cisco.com/warp/public/707/cisco-intrusion-detection-obfuscation-vuln-pub.shtml
Dragon Sensor:
http://dragon.enterasys.com
Deja una respuesta