Eine Pufferüberlaufschwachstelle im Intrusion Detection System SNORT der Versionen 2.6.1, 2.6.1.1 und 2.6.1.2 sowie 2.7.0 beta 1 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

• SNORT 2.6.1
• SNORT 2.6.1.1
• SNORT 2.6.1.2
• SNORT 2.7.0 beta 1

• Sourcefire Intrusion Sensors 4.1.x vor SEU 64
• Sourcefire Intrusion Sensors 4.5.x vor SEU 64
• Sourcefire Intrusion Sensors 4.6.x vor SEU 64
• Sourcefire Intrusion Sensor Software (Crossbeam) 4.1.x vor SEU 64
• Sourcefire Intrusion Sensor Software (Crossbeam) 4.5.x vor SEU 64
• Sourcefire Intrusion Sensor Software (Crossbeam) 4.6.x vor SEU 64

Nicht betroffene Systeme

• SNORT 2.6.1.3
• SNORT 2.7.0 beta 2 (noch nicht verfügbar)
• Systeme, die mit entsprechenden Hersteller-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

• Sourcefire Intrusion Sensors 4.1.x SEU 64
• Sourcefire Intrusion Sensors 4.5.x SEU 64
• Sourcefire Intrusion Sensors 4.6.x SEU 64
• Sourcefire Intrusion Sensor Software (Crossbeam) 4.1.x SEU 64
• Sourcefire Intrusion Sensor Software (Crossbeam) 4.5.x SEU 64
• Sourcefire Intrusion Sensor Software (Crossbeam) 4.6.x SEU 64

Einfallstor
DCE/RPC-Paket oder SMB-Paket an ein überwachtes System oder Netzwerk

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des SNORT-Prozesses über ein Netzwerk. Da dies üblicherweise root- oder SYSTEM-Privilegien sind, führt dies zu einer Kompromittierung des beherbergenden Rechnersystems.
(remote system compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext

• SNORT ist ein weit verbreitetes netzwerkbasiertes Open-Source Intrusion Detection System. Es analysiert den überwachten Netzverkehr auf bekannte Angriffssignaturen und Anomalien und löst bei deren Erkennen vorbetimmte Reaktionen, wie z.B. einen Alarm, aus. Dazu kopiert das System den mitgeschnittenen Netzverkehr auf das beherbergende Rechnersystem und führt die Analysen regelbasiert mittels veschiedener Softwaremodule durch.
• Die Distributed Computing Environment (DCE) ist ein Industriestandard für verteilte IT-Anwendungen. Er definiert eine Reihe von Diensten und Werkzeugen, die die plattformübergreifende Kommunikation von verteilten Anwendungen ermöglicht. Der Standard hat sich nicht durchgesetzt, jedoch sind die zugrundeliegenden Konzepte des Client-Server-Modells, Remote Procedure Calls sowie der gemeinsamen Datenhaltung in sehr viele Produkte und andere Standards eingeflossen. Bekannte Implementierungen sind z.B. das DCE/DFS (Distributed File System), sowie SMB.

Beschreibung
Eine Pufferüberlaufschwachstelle im DCE/RPC-Präprozessor-Modul des Intrusion Detection Systems (IDS) SNORT der Versionen 2.6.1, 2.6.1.1 und 2.6.1.2 sowie 2.7.0 beta 1 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dabei ist es ausreichend, wenn der Angreifer speziell präparierte DCE/RPC oder SMB-Pakete in eine Netzwerk schicken kann, das von der verwundbaren SNORT-Installation überwacht wird.

Da SNORT normalerweise mit root- oder SYSTEM-Privilegien läuft, führt ein erfolgreicher Angriff zur Kompromittierung des beherbergenden Rechnersystems. Durch die meist sehr zentrale Platzierung eines IDS in einem zu überwachenden Netz, stellt dessen Kompromittierung eine besondere Bedrohung dieses Netzwerkes dar.

Trotz zahlreicher Warnungen gibt es Installationen, in denen Microsoft Windows-Domänen über Firewalls hinweg ausgedehnt werden und so SMB- bzw. CIFS-Datenverkehr (s. http://de.wikipedia.org/wiki/Server_Message_Block) nicht gefiltert werden kann. In diesen Konfigurationen sind Angriffe auf ein gegen diese Schwachstelle verwundbares SNORT-System von außerhalb des durch die Firewall abgesicherten Netzwerkes möglich.

Die neu bereitgestellte Version SNORT 2.6.1.3 ist nicht gegen diese Schwachstelle verwundbar und es wird empfohlen, bestehende Installationen des 2.6.x-Zweiges auf diese Version zu aktualisieren. Alternativ kann zur Behebung des Problems der DCE/RPC-Präprozessor abgeschaltet werden. Benutzer des 2.7.x-Zweiges müssen derzeit diese Maßnahme durchführen, da es noch keine neue Version gibt, die das Problem behebt.

Gegenmaßnahmen
Installation der nicht verwundbaren Versionen

• SNORT 2.6.1.3
• SNORT 2.7.0 beta 2 (sobald verfügbar)

• Sourcefire Intrusion Sensors, Details sind der Customer Support Seite von Sourcefire Inc. zu entnehmen

Workaround

• Abschalten des voreingestellt aktivierten DCE/RPC-Präprozessor-Moduls. Dazu ist in der Konfigurationsdatei /etc/snort/snort.conf (unter GNU/Linux bzw. der entsprechenden Konfigurationsdatei auf anderen unterstützten Plattformen) ist die Regel

  preprocessor dcerpc: \
      autodetect \
     max_frag_size 3000 \
      memcap 100000
  

  auszukommentieren:

  #preprocessor dcerpc: \
  #    autodetect \
  #   max_frag_size 3000 \
  #    memcap 100000
  

  Danach ist der SNORT-Prozess neu zu starten. Dies geschieht auf Linux-Plattformen üblicherweise mit dem folgenden Kommando (dies kann aber ja nach Konfiguration variieren):

  # /etc/init.d/snort restart
  

  Auf anderen unterstützten Plattformen muss dies ggf. durch eine abweichende Prozedur durchgeführt werden.
• Eine Abmilderung der Gefährdung eines durch eine verwundbare SNORT-Installation überwachten Netzwerkes kann die Installation einer Firewall für DCE/RPC- bzw. SMB-Verkehr darstellen. Zu beachten ist, dass eine solchermaßen eingestelle Firewall effektiv den für die Aufrechterhaltung einer Microsoft-Domäne nötigen Datenverkehr unterbindet.

Eine solche Maßnahme behebt zwar nicht die Schwachstelle, schränkt aber die Möglickeiten eines Angriffs auf die Rechnersysteme ein, die innerhalb dieses Netzwerkes stehen. Trotzdem sollte des Gefahrenpotential auch einer solchermaßen eingeschränkten Menge potentieller Angreifer nicht unterschätzt werden, da ein Rechnersystem auf dem ein IDS installiert ist, eine solch zentrale Position in dem Netzwerk hat, dass es ein lohnendes Angriffsziel darstellt. In mehrstufigen Angriffsszenarien, bei denen zunächst z.B. Arbeitsplatzsysteme angegriffen werden und danach das IDS, wäre diese Maßnahme nicht wirksam.

Vulnerability ID

• CVE-2007-5276

Weitere Information zu diesem Thema

• Technical Cyber Security Alert TA07-050A: Sourcefire Snort DCE/RPC Preprocessor Buffer Overflow
• IBM ISS Advisory: Sourcefire Snort Remote Buffer Overflow
• SNORT Homepage
• Distributed Computing Environment (DCE) auf Wikipedia

Revisionen dieser Meldung

• V 1.0 (2007-02-21): Veröffentlichung als Kurzmeldung
• V 1.1 (2007-02-21): zur Vollmeldung erweitert
• V 1.2 (2007-02-21): Sourcefire hinzugefügt

Weitere Artikel zu diesem Thema:

• [Generic/SNORT] Schwachstelle im Back Orifice Preprocessor Modul - Exploit Code Verfügbar (UPDATE) (2005-10-20)
  Eine Pufferüberlaufschwachstelle im Back Orifice Preprocessor des verbreiteten Intrusion Detection Systems SNORT kann von Angreifern dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dies sind im allgemeinen root- oder SYSTEM-Privilegien, was zu einer Kompromittierung des beherbergenden Rechnersystems führt. Es wurden bereits mehrere Exploit Codes für diese Schwachstelle veröffentlicht.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/