Snort: Angriff über IDS-Sicherheitsloch
Ein nicht überwachter Puffer im Code für die Überprüfung fragmentierter RPC-Aufrufe dient dabei als Einfallstor. Ein Angreifer muss dazu lediglich entsprechend vorbereitete Pakete an ein beliebiges System innerhalb des attackierten Netzes senden. Bei der Verarbeitung der RPC-Calls hängen sich die Snort-Sensoren auf; unter gewissen Umständen lässt sich sogar beliebiger Code einspeisen und im Kontext des Snort-Prozesses (meist root) ausführen.
Betroffen sind alle Snort-Versionen seit 1.8 unter Windows und Linux sowie diverse kommerzielle Systeme, die Snort verwenden oder darauf aufsetzen. Laut den Entdeckern der Sicherheitslücke, der ISS X-Force, verursacht ein erfolgreicher Exploit keinerlei Spuren in den Logdateien. Auch Schutzmechanismen wie ein non-executable Stack bleiben dem Angriff gegenüber wirkungslos.
Als Work-around empfiehlt ISS, in der Datei snort.conf die Zeile "preprocessor rpc_decode" auszukommentieren und den Snort-Prozess vorbeugend per chroot in einer eingeschränkten Umgebung auszuführen. Anschließend sollten Sie jedoch so schnell wie möglich auf Snort 1.9.1 aktualisieren. (jlu)