Vulnérabilités
Faille majeure pour Snort
Par Jerome Saiz, le 19 oct 2005 à 11:56:00.
Une faille non seulement critique mais surtout particulièrement simple à exploiter vient d'être annoncée pour Snort. L'outil Libre de détection d'intrusion pourrait être utilisé par un attaquant pour prendre le contrôle du serveur qui l'héberge. Il suffit pour cela d'être en mesure d'envoyer des paquets UDP piégés sur un réseau surveillé par Snort, ce qui n'est pas très difficile. Une version corrigée est disponible. [Mis à jour le 22/10/05]
Selon la société ISS, une faille particulièrement simple à exploiter frappe l'IDS Libre Snort. Elle toucherait les versions
2.4.0 jusqu'à 2.4.2.La bourde se situe dans une extension (un préprocesseur) destinée à identifier le trafic du cheval de Troie Back Orifice. Il suffirait à un attaquant de faire parvenir à l'IDS des paquets UDP piégés pour être en mesure d'exécuter du code sur le serveur avec les droits de Snort. Et puisque ce dernier est généralement installé avec les droits d'administration cela revient tout simplement à en prendre le contrôle.
Outre sa simplicité de mise en oeuvre, l'alerte est jugée particulièrement sérieuse car il n'est pas nécessaire d'attaquer directement le serveur de l'IDS pour exploiter cette vulnérabilité : il suffit d'être en mesure d'envoyer des paquets sur un réseau surveillé par Snort.
Une version corrigée est disponible (
2.4.3) est il est très vivement conseillé de mettre à jour l'IDS, tout particulièrement s'il est destiné à surveiller un réseau ou des hôtes accessibles publiquement (ce qui est souvent le cas). Si la mise à jour immédiate n'est pas possible, il est alors conseillé de désactiver le préprocesseur Back Orifice.Il est à noter, enfin, que Snort est embarqué dans de très nombreux boîtiers de sécurité multi-fonctions, et ces derniers devront évidemment être mis à jour eux aussi. Cela ne posera probablement aucun problème avec les éditeurs suffisamment honnêtes pour admettre l'utilisation de Snort dans leur appliance, et suffisamment professionnels pour en assurer les mises à jour. En revanche, les nombreux charlatans fournisseurs de "solutions propriétaires exclusives" qui intègrent en douce des produits Libres seront peut-être tentés d'attendre la prochaine mise à jour programmée plutôt que de fournir un correctif immédiat.
Mise à jour du 22/10/05 : Selon l'ISC, un organisme de veille reconnu, l'exploitation massive de la faille serait proche. Il n'aurait fallu que deux heures à un consultant sécurité pour écrire un exploit fonctionnel.
Plus d'information
- L'alerte sur le site d'ISS (en anglais)
- L'alerte chez le CERT US (en anglais)
- Téléchargez la version corrigée de Snort (en anglais)
Cartes blanches
Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Les dossiers
Les thématiques
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
