Se ha encontrado una problema de seguridad en Snort por el que un
atacante remoto puede eludir las reglas de detección “uricontent”.
Snort es uno de los IDS (Sistema de Detección de Intrusiones) más
extendidos. Distribuido de forma gratuita como Open Source, Snort
puede detectar casi todos los patrones de ataque conocidos basándose
en el análisis de los paquetes de red según unas bases de datos de
firmas, además de reglas genéricas. Habitualmente la función de
estos detectores es la de alertar sobre actividades sospechosas
a través de cualquier mecanismo, aunque en ocasiones puede usarse
para lanzar medidas destinadas a mitigar de forma automática el
posible problema descubierto por el sensor.
Si un atacante remoto envía una URL especialmente manipulada que
contenga un retorno de carro justo antes de la declaración de
protocolo HTTP, puede eludir la detección de reglas “uricontent”,
por lo que se ven afectadas cientos de reglas de la base de datos
de Snort.
En la práctica, un atacante podría hacer pasar inadvertidos ciertos
tipos de ataque. Para que el problema pueda ser aprovechado, es
necesario que el servidor web protegido soporte caracteres especiales
en peticiones HTTP.
El fallo está siendo aprovechado activamente, y ha sido detectado por
Blake Hartstein, miembro del Demarc Threat Research Team, que habla
de una “evasión de Snort a gran escala”. En la página original también
se ha publicado la forma de aprovechar la vulnerabilidad.
Debido a la gravedad del problema, se ha publicado un parche no oficial
desde la página de los descubridores, aunque se publicará una versión
oficial no vulnerable el día 5 de junio.
ssantos@hispasec.com
Más información:
Snort Bypass Vulnerability
http://www.demarc.com/support/downloads/patch_20060531
Deja un comentario