Vulnerabilidade SNORT

Categoria: Alertas

sexta, 28 outubro 2005 12:26

I. Descrição

A vulnerabilidade é causada por um erro no pré-processador de pacotes Back Orifice.
Pode ser explorada, pelo envio de pacotes UDP alterados para uma rede, ou sistema que esteja protegido ou a usar um sistema IDS Snort.
A vulnerabilidade foi reportada nas versões Snort: 2.4.0 , 2.4.1, e 2.4.2, outras versões poderão também ser afectadas.
Já existe código disponível na Internet para explorar esta vulnerabilidade.

II. Solução

Fazer upgrade para versão 2.4.3 .

Em alternativa é possível fazer disable ao pré-processador Back Orifice, por comentar a linha que diz respeito ao pré-processador BO, no ficheiro de configuração snort.conf :
#preprocessor bo

Foi disponibilizada por Kyle Haugsness, no Insternet Storm Center, uma assinatura para detectar a exploração da vulnerabilidade:
alert udp any !31337 <> any !31337 (
msg: "BLEEDING-EDGE EXPLOIT Snort Back Orifice pre-processor buffer overflow attempt";
dsize: >1024;
content:"|ce 63 d1 d2 16 e7 13 cf|";
offset: 0;
depth: 8;
threshold: type limit, track by_dst, count 1, seconds 60;
classtype: attempted-admin;
sid: 3000001;
rev:1;
)

III. Referências

Secunia:
http://secunia.com/advisories/17220/

Snort:
http://www.snort.org/pub-bin/snortnews.cgi#99

US-CERT:
http://www.kb.cert.org/vuls/id/175500

SANS: Internet Storm Center
http://isc.sans.org/diary.php?date=2005-10-21