You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1272

[Generic/SNORT] Schwachstelle im Back Orifice Preprocessor Modul - Exploit Code Verfügbar (UPDATE)
(2005-10-20 10:42:38.491569+00) Druckversion

Quelle: http://www.us-cert.gov/cas/techalerts/TA05-291A.html

Eine Pufferüberlaufschwachstelle im Back Orifice Preprocessor des verbreiteten Intrusion Detection Systems SNORT kann von Angreifern dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dies sind im allgemeinen root- oder SYSTEM-Privilegien, was zu einer Kompromittierung des beherbergenden Rechnersystems führt. Es wurden bereits mehrere Exploit Codes für diese Schwachstelle veröffentlicht.

Betroffene Systeme

  • SNORT 2.4.0 bis 2.4.2
  • Sourcefire Intrusion Sensors

Einfallstor
Speziell formulierte UDP-Pakete im zu überwachenden Datenstrom, die durch das Back Orifice Preprocessor Modul auf Back Orifice Ping-Nachrichten untersucht werden.

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des SNORT-Prozesses, üblicherweise root- oder SYSTEM-Privilegien.
(system compromise)

Angriffsvoraussetzung
Senden von UDP-Paketen an den zu überwachenden Datenstrom, also z.B. an ein System, dass in einem überwachten Netz steht.
(remote)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
SNORT ist ein weit verbreitetes netzwerkbasiertes Open-Source Intrusion Detection System. Es analysiert den überwachten Netzverkehr auf bekannte Angriffssignaturen und Anomalien und löst bei deren Erkennen vorbetimmte Reaktionen, wie z.B. einen Alarm, aus. Dazu kopiert das System den mitgeschnittene Netzverkehr auf das beherbergende Rechnersystem und führt die Analysen regelbasiert mittels veschiedener Softwaremodule durch.

Beschreibung
Eine Pufferüberlaufschwachstelle im Back Orifice Preprocessor Modul des Intrusion Detection Systems SNORT kann von Angreifern dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dies sind im allgemeinen root- oder SYSTEM-Privilegien, was zu einer Kompromittierung des beherbergenden Rechnersystems führt. Für einen erfolgreichen Angriff muß der Angreifer lediglich in der Lage sein, entsprechend formatierte UDP-Pakete an ein System zu senden das in einem durch ein betroffenes SNORT überwachten Netz steht. Das IDS untersucht diese Pakete und leitet sie intern u.a. an das Back Orifice Preprocessor Modul weiter.

Durch die meist sehr zentrale Platzierung eines IDS in einem zu überwachenden Netz, stellt dessen Kompromittierung eine besondere Bedrohung dieses Netzwerkes dar.

Exploit Status
Es wurden bereits mehrere Exploit Codes für diese Schwachstelle veröffentlicht, lesen Sie dazu:

Die Codes implementieren u.a. die Ausführung beliebigen Programmcodes auf dem SNORT beherbergenden Rechnersystem und damit die Möglichkeit, dieses zu kompromittieren. Diese Tatsache erhöht das Bedrohungspotential dieser Schwachstelle erheblich und es muß in allernächster Zukunft mit der automatisierten Ausnutzung dieser Schwachstelle z.B. durch Würmer oder Bots gerechnet werden.

Workaround

  • Abschalten des Back Orifice Preprocessor Moduls in der SNORT-Konfiguration /etc/snort/snort.conf (unter GNU/Linux bzw. der entsprechenden Konfigurationsdatei auf anderen unterstützten Plattformen).
    In dieser Datei ist die Regel
    preprocessor bo
    
    auszukommentieren:
    # preprocessor bo
    
    Danach ist der SNORT-Prozeß neu zu starten. Dies geschieht üblicherweise mit dem folgenden Kommando (dies kann aber ja nach Konfiguration variieren):
    # /etc/init.d/snort restart
    

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V 1.0 (2005-10-20): Erstveröffentlichung
  • V 1.1 (2005-10-20):
    • CVE-Referenz hinzugefügt
    • Sektion "Kontext" hinzugefügt
  • V 2.0 (2005-10-21): UPDATE
    • Exploit Code veröffentlicht
    • Beschreibung erweitert

(og)

Weitere Artikel zu diesem Thema:

  • [Generic/SNORT] Pufferüberlaufschwachstelle in SNORT (2007-02-21)
    Eine Pufferüberlaufschwachstelle im Intrusion Detection System SNORT der Versionen 2.6.1, 2.6.1.1 und 2.6.1.2 sowie 2.7.0 beta 1 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.