[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor] ------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA- UNAM
Boletin de Seguridad UNAM-CERT 2003-013
Multiples Vulnerabilidades en Preprocesadores de Snort
------------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín en el
cual se informa de la existencia de dos vulnerabilidades en el
Sistema de Detección de Intrusos (IDS) Snort, cada una en un módulo
de preprocesador separado. Ambas vulnerabilidades permiten a los
intrusos remotos ejecutar código arbitrario con los privilegios del
usuario ejecutando Snort, típicamente Administrador Local (root).
Fecha de Liberación: 17 de Abril de 2003
Ultima Revisión: 17 de Abril de 2003
Fuente: CERT/CC y diversos reportes de Equipos de
Respuesta a Incidentes.
SISTEMAS AFECTADOS
------------------
* IDS Snort, versiones de la 1.8 a la 2.0 RC1
DESCRIPCIÓN
-----------
El sistema de detección de intrusos Snort contiene una variedad de
módulos de procesador que permiten al usuario incluir selectivamente
funcionalidad adicional. Investigadores de dos organizaciones
independientes han descubierto vulnerabilidades en dos de estos
módulos, el preprocesador RPC y el preprocesador de reagrupación de
fragmento TCP "stream4".
Para información adicional sobre Snort, se puede consultar
http://www.snort.org.
VU#139129 <http://www.kb.cert.org/vuls/id/139129> - Overflow de
Heap en el Preprocesador "stream4" de Snort (CAN-2003-0209
<http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0209>)
Investigadores en CORE Security Technologies
<http://www.coresecurity.com> han descubierto un overflow de heap
remotamente explotable en el módulo de preprocesador "stream4" de
Snort. Este módulo permite a Snort reagrupar fragmentos de paquetes
TCP para una análisis más completo.
Para explotar esta vulnerabilidad, un intruso debe alterar el estado
que rastrea el mecanismo del módulo de preprocesador, enviando una
serie de paquetes con números de secuencia creados de forma
maliciosa. Esto causa que los módulos eviten una verificación de un
buffer overflow que intenta y permite a un intruso insertar código
arbitrario en el heap.
Para información adicional, se puede consultar el boletín de Core
Security Technologies en:
http://www.coresecurity.com/common/showdoc.php?idx=313&idxseccion=10
La vulnerabilidad afecta las versiones de Snort 1.8.x, 1.9.x y 2.0
anteriores a la versión RC1. Snort ha publicado un boletín en
relación a esta vulnerabilidad; este boletín esta disponible en:
http://www.snort.org/advisories/snort-2003-04-16-1.txt
VU#916785 <http://www.kb.cert.org/vuls/id/916785> - Buffer
overflow en el Preprocesador RPC de Snort RPC (CAN-2003-0033
Investigadores de Internet Security Systems <http://www.iss.net/>
(ISS) han descubierto un buffer overflow remotamente explotable en
el módulo de preprocesador RPC de Snort. Martin Roesch,
desarrollador primordial de Snort, describió esta vulnerabilidad como:
Cuando el decodificador RPC normaliza los registros RPC
fragmentados, verifica incorrectamente las longitudes normales
contra el tamaño actual del paquete, permitiendo una condición de
overflow. El preprocesador RPC esta habilitado de forma
predeterminada. / Para información adicional, se puede consultar el
boletín de IIS X-Force localizado en:
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951
Esta vulnerabilidad afecta las versiones de Snort de la 1.8.x a la
1.9.1 y la versión 2.0 Beta.
IMPACTO
-------
Ambas vulnerabilidades, VU#139129 y VU#916785 permiten a los
intrusos remotos ejecutar c&aocute;digo arbitrario con los
privilegios del usuario ejecutando Snort, típicamente Administrador
Local (root). Se debe hacer notar que no es necesario que el intruso
conozca la dirección IP del dispositivo Snort que desee atacar;
simplemente enviando tráfico malicioso donde pueda ser observado por
un sensor de Snort afectado, es suficiente para explotar estas
vulnerabilidades.
SOLUCIÓN
--------
* Actualizar a Snort 2.0
Ambas vulnerabilidades, VU#139129 y VU#916785, son solucionadas en
la versión 2.0 de Snort, la cual esta disponible en:
http://www.snort.org/dl/snort-2.0.0.tar.gz
Las versiones binarias de Snort están disponibles en:
http://www.snort.org/dl/binaries
Para información sobre otros distribuidores que contienen la versión
afectada de Snort, se puede consultar el *Apéndice A* de éste
documento.
* Deshabilitar los Módulos de Procesador Afectados.
Los sitios que no son capaces de actualizar inmediatamente los
sensores de Snort afectados pueden prevenir la explotación de esta
vulnerabilidad comentando los módulos de preprocesador afectado en
el archivo de configuración "snort.conf".
Para prevenir la explotación de VU#139129, se debe comentar la
siguiente línea:
preprocessor stream4_reassemble
Para prevenir la explotación de VU#916785, se debe comentar la
siguiente línea:
preprocessor stream4_reassemble
Después de comentar los módulos afectados, se debe enviar una señal
SIGHUP al proceso Snort afectado para actualizar la configuración.
Se debe hacer notar que deshabilitar estos módulos pueden tener
efectos contrarios en la habilidad del sensor para procesar
correctamente fragmentos de registros RPC y fragmentos de paquetes
TCP. En particular, deshabilitando el módulo de preprocesador
"stream4" prevendrá que el sensor de Snort detectar una variedad de
ataques de evasión IDS.
* Bloquear los Paquetes Salientes de los Sistemas IDS de Snort.
Se puede ser capaz de limitar las capacidades de un intruso si el
sistema es comprometido, bloqueado todo el tráfico de salida del
sensor de Snort. Aunque esta solución temporal no prevendrá la
explotación de la vulnerabilidad, hará más difícil para un intruso
crear un exploit satisfactorio.
APÉNDICE A. Información de Distribuidores
-----------------------------------------
Este apéndice contiene información proporcionada por los
distribuidores de éste boletín. Si un distribuidor en particular
reporta nueva información al CERT/UNAM-CERT, esta sección será
actualizada.
* Apple Computer, Inc.
Snort no está contenido en las versiones de Mac OS X ó Mac OS X
Server.
* Ingrian Networks
Los productos de Ingrian Networks no son susceptibles a
VU#139129 y VU#916785 debido a que no utilizan Snort.
Los usuarios de Ingrian que utilizan el IDS Extender Service
Engine para reflejar datos en texto claro a una base de datos de
un IDS Snort deberían actualizar su software de ID.
* NetBSD
NetBSD no incluye Snort en su sistema base.
Snort esta disponible mediante software de sistema de terceros,
pkgsrc. Los usuarios que ha instalado net/snort, net/snort-mysql
ó net/snorty-pgsql deberían actualizar a una versión libre de
vulnerabilidades. Los paquetes pkgsrc/security/audit pueden ser
utilizados para mantener actualizado el software contra estos
tipos de problemas.
* Red Hat Inc.
Red Hat no es vulnerable. Red Hat no contiene Snort en ninguno
de sus productos.
* SGI.
SGI no contiene Snort como parte de IRIX.
* Snort.
Snort 2.0 ha sufrido una auditoria de seguridad profesional
mediante terceros fundada por Sourcefire.
------------------------------------------------------------------------
El CERT/UNAM-CERT reconoce a Bruce Leidl, Juan Pablo Martinez Kuhn,
y Alejandro David Weil de Core Security Technologies el
descubrimiento de la vulnerabilidad VU#139129. También reconoce a
Mark Dowd y Neel Mehta de ISS X-Force el haber descubierto la
vulnerabilidad VU#916785.
------------------------------------------------------------------------
Autor versión original: Jeffrey P. Lanza y Cory F. Cohen.
El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el
apoyo en la elaboración, revisión y traducción de éste boletín a:
* Jesús Ramón Jiménez Rojas (jrojas en seguridad unam mx)
------------------------------------------------------------------------
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.cert.org/advisories/CA-2003-13.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
--
Juan Carlos Guel Lopez
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
--
Lista de soporte de LinuxPPP
Dirección email: Linux en linuxppp com
Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux
Reglas de la lista: http://linuxppp.net/reglas.html