Snort: Angriff über IDS-Sicherheitsloch

Statt vor Attacken zu warnen, ermöglicht das verbreitete Intrusion Detection System Snort sie derzeit: Ein Buffer Overflow bringt die Snort-Sensoren zum Absturz oder ermöglicht sogar die Ausführung von Code im Systemkontext.

Ein nicht überwachter Puffer im Code für die Überprüfung fragmentierter RPC-Aufrufe dient dabei als Einfallstor. Ein Angreifer muss dazu lediglich entsprechend vorbereitete Pakete an ein beliebiges System innerhalb des attackierten Netzes senden. Bei der Verarbeitung der RPC-Calls hängen sich die Snort-Sensoren auf; unter gewissen Umständen lässt sich sogar beliebiger Code einspeisen und im Kontext des Snort-Prozesses (meist root) ausführen.

Betroffen sind alle Snort-Versionen seit 1.8 unter Windows und Linux sowie diverse kommerzielle Systeme, die Snort verwenden oder darauf aufsetzen. Laut den Entdeckern der Sicherheitslücke, der ISS X-Force, verursacht ein erfolgreicher Exploit keinerlei Spuren in den Logdateien. Auch Schutzmechanismen wie ein non-executable Stack bleiben dem Angriff gegenüber wirkungslos.

Als Work-around empfiehlt ISS, in der Datei snort.conf die Zeile "preprocessor rpc_decode" auszukommentieren und den Snort-Prozess vorbeugend per chroot in einer eingeschränkten Umgebung auszuführen. Anschließend sollten Sie jedoch so schnell wie möglich auf Snort 1.9.1 aktualisieren. (jlu)