[connect24h:5800] Re: snort1.8 〜 2.0RC1 にセキュリティーホール

["shikap@xxxxxxxxxxxx" <shikap@xxxxxxxxxxxx>]

しかＰです。

At 11:42 AM +0900 03.4.21, hama wrote:
>  > もうすでにご存じの方は多いと思いますけど。。。
>>  snortの1.8から2.0RC1までにセキュリティーホールが見つかってます。
>>  まだ最新版に上げてない人は要注意です。
>>  →http://www.zdnet.co.jp/enterprise/0304/18/epn07.html
>
>関連情報です。
>Snort 2.0 release
>http://www.snort.org/
>CERTR Advisory CA-2003-13
>Multiple Vulnerabilities in Snort Preprocessors
>http://www.cert.org/advisories/CA-2003-13.html
>http://www.securityfocus.com/archive/1/318669
>http://www.yk.rim.or.jp/~shikap/dmaker/dviewer.cgi?200304162000
>侵入検知システム「Snort」にセキュリティ・ホール，米CERT/CCが警告
>http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030418/1/

1.9.0、1.9.1それぞれを弄ってみたのですが、だいぶアレゲです。
http://www.yk.rim.or.jp/~shikap/dmaker/dviewer.cgi?200304162000
とっても簡単に悶死します。また、ペイロードにシェルコードを仕込むことも
難しくなく、さくっとコマンド実行できそうです。
＃exploitは作ってませんよ。:-)

snortは、オプションで明示しない限り、実行権限がrootであることから、
なんでもあり、と言うことになります。
ただし、インタラクティブシェルが攻撃者に直接渡るわけではないため、
いったんバックドアを設置する必要があるのですが、多くの場合、snort
のIPアドレスが外部に暴露されている、と言うわけではないので、バック
ドア設置とともに、攻撃者マシンにパケットを送信するなどして、snort
実行マシンのIPアドレスを確保する必要があります。
snort専用マシンであれば、NICにIPアドレスを振らない、という方法も
ありなので、こういった技を駆使すれば、検知しなくなってしまう、と言う
弊害が生じるものの、いたーい状況にはならないでしょう。

とはいえ、2.0にあげるのがもっとも簡単かつ確実な方法である事は間違い
ありませんね。

口を酸っぱくするほど言った覚えはない(^^;のですが、
-u、-gオプションは必須、できればIPアドレスを振らないでsnortを
起動する、の２つは覚えて置いて欲しいネタです。
＃syslogとかを利用したければ、検知用NICと通信用NICの２枚刺し。

なお、1.9.x系で、シグネチャを作ってなんとかする、なんて技は通用しま
せん。なぜなら、シグネチャエンジンに渡る前に落ちてしまうから（笑）
1.9.x系を利用してどうしても逃げたい場合には、stream4を殺すしか
ないでしょう。
＃または、memcpy()関数の置き換えを行うか。2.0のソースでは、
＃memcpy()のラッパーを使っていますので、参考になるかもしれず。

では。

--[PR]------------------------------------------------------------------
　☆☆☆　一休．ｃｏｍ　３５０万円相当の宿泊券プレゼント！！　☆☆☆
高級ホテル・旅館格安予約サイト『一休.com』会員登録でプレゼントチャンス！
　　　　 http://ad.freeml.com/cgi-bin/ad.cgi?id=bL7eN
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp