Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1272

[Generic/SNORT] Schwachstelle im Back Orifice Preprocessor Modul - Exploit Code Verfügbar (UPDATE)
(2005-10-20 10:42:38.491569+00)

Quelle: http://www.us-cert.gov/cas/techalerts/TA05-291A.html

Eine Pufferüberlaufschwachstelle im Back Orifice Preprocessor des verbreiteten Intrusion Detection Systems SNORT kann von Angreifern dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dies sind im allgemeinen root- oder SYSTEM-Privilegien, was zu einer Kompromittierung des beherbergenden Rechnersystems führt. Es wurden bereits mehrere Exploit Codes für diese Schwachstelle veröffentlicht.

Betroffene Systeme

Einfallstor
Speziell formulierte UDP-Pakete im zu überwachenden Datenstrom, die durch das Back Orifice Preprocessor Modul auf Back Orifice Ping-Nachrichten untersucht werden.

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des SNORT-Prozesses, üblicherweise root- oder SYSTEM-Privilegien.
(system compromise)

Angriffsvoraussetzung
Senden von UDP-Paketen an den zu überwachenden Datenstrom, also z.B. an ein System, dass in einem überwachten Netz steht.
(remote)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
SNORT ist ein weit verbreitetes netzwerkbasiertes Open-Source Intrusion Detection System. Es analysiert den überwachten Netzverkehr auf bekannte Angriffssignaturen und Anomalien und löst bei deren Erkennen vorbetimmte Reaktionen, wie z.B. einen Alarm, aus. Dazu kopiert das System den mitgeschnittene Netzverkehr auf das beherbergende Rechnersystem und führt die Analysen regelbasiert mittels veschiedener Softwaremodule durch.

Beschreibung
Eine Pufferüberlaufschwachstelle im Back Orifice Preprocessor Modul des Intrusion Detection Systems SNORT kann von Angreifern dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dies sind im allgemeinen root- oder SYSTEM-Privilegien, was zu einer Kompromittierung des beherbergenden Rechnersystems führt. Für einen erfolgreichen Angriff muß der Angreifer lediglich in der Lage sein, entsprechend formatierte UDP-Pakete an ein System zu senden das in einem durch ein betroffenes SNORT überwachten Netz steht. Das IDS untersucht diese Pakete und leitet sie intern u.a. an das Back Orifice Preprocessor Modul weiter.

Durch die meist sehr zentrale Platzierung eines IDS in einem zu überwachenden Netz, stellt dessen Kompromittierung eine besondere Bedrohung dieses Netzwerkes dar.

Exploit Status
Es wurden bereits mehrere Exploit Codes für diese Schwachstelle veröffentlicht, lesen Sie dazu:

Die Codes implementieren u.a. die Ausführung beliebigen Programmcodes auf dem SNORT beherbergenden Rechnersystem und damit die Möglichkeit, dieses zu kompromittieren. Diese Tatsache erhöht das Bedrohungspotential dieser Schwachstelle erheblich und es muß in allernächster Zukunft mit der automatisierten Ausnutzung dieser Schwachstelle z.B. durch Würmer oder Bots gerechnet werden.

Workaround

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1272