Security Lab

Проблемы в большинстве IDS

Дата публикации:06.09.2001
Дата изменения:17.10.2006
Всего просмотров:1440
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Системы обнаружения вторжения, чтобы функционировать должным образом, должны способны расшифровать различные кодируемые формы HTTP запросов типа hex и UTF. Большинство коммерческих и свободно распространяемых IDS (Система Обнаружения Вторжения) имеют способность проверять кодируемый запрос UTF и Hex. Два основных путей кодирования URL являются UTF (%xx%xx) или простой HEX (%xx), где xx – требуемые hex значения. Microsoft's IIS Web server включает оба из этих типов кодирования, однако он также включает третий стиль кодирования, который не является стандартом HTTP. Поэтому большинство IDS систем не знало этого дополнительного кодирования и поэтому не пытается его расшифровать. Этот "отличительный" стиль кодирования известен как кодирование %u. %u кодирования предназначено для представления истинных строк символа Unicode/wide. Так как %u кодирование - не стандарт, и IDS системы не расшифровывают строки %u, это позволяет нападающим использовать %u, при нападении на IIS WEB сервер в обход IDS систем. Хороший пример того, как это может использоваться в реальных атаках, является скрытость CodeRed. CodeRed саморазмножающийся вирус использовал уязвимость переполнения буфера .ida, чтобы заражать системы и распространять самого себя. CodeRed был обнаружен, потому что IDS системы имели сигнатуры для .ida нападений. Однако, если бы CodeRed имел бы полиморфный %u механизм кодирования, большинство IDS систем пропустили бы его, так как не смогли бы правильно сравнить сигнатуры для этой атаки. Запрос примерно выглядел бы так: GET /himom.id%u0061 HTTP/1.0 вышеупомянутый запрос переведет himom.id%u0061 к himom.ida и поэтому запрос будет работать должным образом, но при этом IDS не обнаружит ничего подозрительного. Уязвимость пока обнаружена в: 1 Cisco Secure Intrusion Detection System. 2. Cisco Catalyst 6000 Intrusion Detection System Module 3. ISS RealSecure Network Sensor 5.x and 6.x before XPU 3.2 4. ISS RealSecure Server Sensor 6.x prior to 6.0.1 5. ISS RealSecure Server Sensor 5.5 6. Dragon Sensor 4.x 7. Snort prior to 1.8.1 8. NFR (Network Flight Record) и скорее всего в других подобных системах.