[Generic/SNORT] Pufferueberlaufschwachstelle in SNORT
RUS-CERT (Oliver Goebel)
(2007-02-21 10:32:02.331092+01)
Quelle: http://www.snort.org/docs/advisory-2007-02-19.html
Eine Pufferüberlaufschwachstelle im Intrusion Detection System SNORT
der Versionen 2.6.1, 2.6.1.1 und 2.6.1.2 sowie 2.7.0 beta 1 kann von
einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit
den Privilegien des SNORT-Prozesses auf dem beherbergenden
Rechnersystem auszuführen.
Betroffene Systeme
* SNORT 2.6.1
* SNORT 2.6.1.1
* SNORT 2.6.1.2
* SNORT 2.7.0 beta 1
Kommerzielle Versionen:
* Sourcefire Intrusion Sensors 4.1.x vor SEU 64
* Sourcefire Intrusion Sensors 4.5.x vor SEU 64
* Sourcefire Intrusion Sensors 4.6.x vor SEU 64
* Sourcefire Intrusion Sensor Software (Crossbeam) 4.1.x vor SEU 64
* Sourcefire Intrusion Sensor Software (Crossbeam) 4.5.x vor SEU 64
* Sourcefire Intrusion Sensor Software (Crossbeam) 4.6.x vor SEU 64
Nicht betroffene Systeme
* SNORT 2.6.1.3
* SNORT 2.7.0 beta 2 (noch nicht verfügbar)
* Systeme, die mit entsprechenden Hersteller-Patches zur Behebung
der Schwachstelle versehen sind, die aber i.d.R. nicht die
Versionsnummer ändern.
Kommerzielle Versionen:
* Sourcefire Intrusion Sensors 4.1.x SEU 64
* Sourcefire Intrusion Sensors 4.5.x SEU 64
* Sourcefire Intrusion Sensors 4.6.x SEU 64
* Sourcefire Intrusion Sensor Software (Crossbeam) 4.1.x SEU 64
* Sourcefire Intrusion Sensor Software (Crossbeam) 4.5.x SEU 64
* Sourcefire Intrusion Sensor Software (Crossbeam) 4.6.x SEU 64
Einfallstor
DCE/RPC-Paket oder SMB-Paket an ein überwachtes System oder Netzwerk
Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des
SNORT-Prozesses über ein Netzwerk. Da dies üblicherweise root- oder
SYSTEM-Privilegien sind, führt dies zu einer Kompromittierung des
beherbergenden Rechnersystems.
(remote system compromise)
Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)
Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Kontext
* [2]SNORT ist ein weit verbreitetes netzwerkbasiertes Open-Source
Intrusion Detection System. Es analysiert den überwachten
Netzverkehr auf bekannte Angriffssignaturen und Anomalien und löst
bei deren Erkennen vorbetimmte Reaktionen, wie z.B. einen Alarm,
aus. Dazu kopiert das System den mitgeschnittenen Netzverkehr auf
das beherbergende Rechnersystem und führt die Analysen
regelbasiert mittels veschiedener Softwaremodule durch.
* Die Distributed Computing Environment ([3]DCE) ist ein
Industriestandard für verteilte IT-Anwendungen. Er definiert eine
Reihe von Diensten und Werkzeugen, die die plattformübergreifende
Kommunikation von verteilten Anwendungen ermöglicht. Der Standard
hat sich nicht durchgesetzt, jedoch sind die zugrundeliegenden
Konzepte des [4]Client-Server-Modells, [5]Remote Procedure Calls
sowie der gemeinsamen Datenhaltung in sehr viele Produkte und
andere Standards eingeflossen. Bekannte Implementierungen sind
z.B. das DCE/DFS (Distributed File System), sowie [6]SMB.
Beschreibung
Eine Pufferüberlaufschwachstelle im DCE/RPC-Präprozessor-Modul des
Intrusion Detection Systems ([7]IDS) SNORT der Versionen 2.6.1,
2.6.1.1 und 2.6.1.2 sowie 2.7.0 beta 1 kann von einem Angreifer dazu
ausgenutzt werden, beliebigen Programmcode mit den Privilegien des
SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen.
Dabei ist es ausreichend, wenn der Angreifer speziell präparierte
DCE/RPC oder SMB-Pakete in eine Netzwerk schicken kann, das von der
verwundbaren SNORT-Installation überwacht wird.
Da SNORT normalerweise mit root- oder SYSTEM-Privilegien läuft, führt
ein erfolgreicher Angriff zur Kompromittierung des beherbergenden
Rechnersystems. Durch die meist sehr zentrale Platzierung eines IDS in
einem zu überwachenden Netz, stellt dessen Kompromittierung eine
besondere Bedrohung dieses Netzwerkes dar.
Trotz zahlreicher Warnungen gibt es Installationen, in denen Microsoft
Windows-Domänen über Firewalls hinweg ausgedehnt werden und so SMB-
bzw. CIFS-Datenverkehr (s.
[8]http://de.wikipedia.org/wiki/Server_Message_Block) nicht gefiltert
werden kann. In diesen Konfigurationen sind Angriffe auf ein gegen
diese Schwachstelle verwundbares SNORT-System von außerhalb des durch
die Firewall abgesicherten Netzwerkes möglich.
Die neu bereitgestellte Version SNORT 2.6.1.3 ist nicht gegen diese
Schwachstelle verwundbar und es wird empfohlen, bestehende
Installationen des 2.6.x-Zweiges auf diese Version zu aktualisieren.
Alternativ kann zur Behebung des Problems der DCE/RPC-Präprozessor
abgeschaltet werden. Benutzer des 2.7.x-Zweiges müssen derzeit diese
Maßnahme durchführen, da es noch keine neue Version gibt, die das
Problem behebt.
Gegenmaßnahmen
Installation der nicht verwundbaren Versionen
* [9]SNORT 2.6.1.3
* SNORT 2.7.0 beta 2 (sobald verfügbar)
Kommerzielle Versionen:
* Sourcefire Intrusion Sensors, Details sind der [10]Customer
Support Seite von Sourcefire Inc. zu entnehmen
Workaround
* Abschalten des voreingestellt aktivierten
[11]DCE/RPC-Präprozessor-Moduls. Dazu ist in der
Konfigurationsdatei /etc/snort/snort.conf (unter GNU/Linux bzw.
der entsprechenden Konfigurationsdatei auf anderen unterstützten
Plattformen) ist die Regel
preprocessor dcerpc: \
autodetect \
max_frag_size 3000 \
memcap 100000
auszukommentieren:
#preprocessor dcerpc: \
# autodetect \
# max_frag_size 3000 \
# memcap 100000
Danach ist der SNORT-Prozess neu zu starten. Dies geschieht auf
Linux-Plattformen üblicherweise mit dem folgenden Kommando (dies
kann aber ja nach Konfiguration variieren):
# /etc/init.d/snort restart
Auf anderen unterstützten Plattformen muss dies ggf. durch eine
abweichende Prozedur durchgeführt werden.
* Eine Abmilderung der Gefährdung eines durch eine verwundbare
SNORT-Installation überwachten Netzwerkes kann die Installation
einer Firewall für DCE/RPC- bzw. SMB-Verkehr darstellen. Zu
beachten ist, dass eine solchermaßen eingestelle Firewall effektiv
den für die Aufrechterhaltung einer Microsoft-Domäne nötigen
Datenverkehr unterbindet.
Eine solche Maßnahme behebt zwar nicht die Schwachstelle, schränkt
aber die Möglickeiten eines Angriffs auf die Rechnersysteme ein,
die innerhalb dieses Netzwerkes stehen. Trotzdem sollte des
Gefahrenpotential auch einer solchermaßen eingeschränkten Menge
potentieller Angreifer nicht unterschätzt werden, da ein
Rechnersystem auf dem ein IDS installiert ist, eine solch zentrale
Position in dem Netzwerk hat, dass es ein lohnendes Angriffsziel
darstellt. In mehrstufigen Angriffsszenarien, bei denen zunächst
z.B. Arbeitsplatzsysteme angegriffen werden und danach das IDS,
wäre diese Maßnahme nicht wirksam.
Vulnerability ID
* [12]CVE-2007-5276
Weitere Information zu diesem Thema
* Technical Cyber Security Alert TA07-050A: [13]Sourcefire Snort
DCE/RPC Preprocessor Buffer Overflow
* IBM ISS Advisory: [14]Sourcefire Snort Remote Buffer Overflow
* [15]SNORT Homepage
* [16]Distributed Computing Environment (DCE) auf [17]Wikipedia
Revisionen dieser Meldung
* V 1.0 (2007-02-21): Veröffentlichung als Kurzmeldung
* V 1.1 (2007-02-21): zur Vollmeldung erweitert
* V 1.2 (2007-02-21): Sourcefire hinzugefügt
Aktuelle Version dieses Artikels
[18]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1355
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2007 RUS-CERT, Universität Stuttgart,
[19]http://CERT.Uni-Stuttgart.DE/
References
1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www.snort.org/
3. http://www.opengroup.org/dce/
4. http://de.wikipedia.org/wiki/Client-Server-System
5. http://de.wikipedia.org/wiki/Remote_Procedure_Call
6. http://de.wikipedia.org/wiki/Server_Message_Block
7. http://de.wikipedia.org/wiki/Intrusion_Detection_System
8. http://de.wikipedia.org/wiki/Server_Message_Block
9. http://www.snort.org/dl/current/snort-2.6.1.3.tar.gz
10. http://www.sourcefire.com/services/support.html
11. http://www.snort.org/docs/snort_htmanuals/htmanual_261/node104.html
12. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5276
13. http://www.us-cert.gov/cas/techalerts/TA07-050A.html
14. http://www.iss.net/threats/257.html
15. http://www.snort.org/
16. http://de.wikipedia.org/wiki/Distributed_Computing_Environment
17. http://www.de.wikipedia.org/
18. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1355
19. http://CERT.Uni-Stuttgart.DE/
----------------------------------------------------------------------
Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Aut...@Lists.CERT.Uni-Stuttgart.DE