The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление системы обнаружения атак Suricata с устранением критической уязвимости

01.07.2021 08:13

Организация OISF (Open Information Security Foundation) опубликовала корректирующие выпуски системы обнаружения и предотвращения сетевых вторжений Suricata 6.0.3 и 5.0.7, в которых устранена уязвимость CVE-2021-35063, имеющая критический уровень опасности. Проблема даёт возможность обойти любые анализаторы и проверки Suricata.

Уязвимость вызвана отключением анализа потока для пакетов с ненулевым значением ACK, но не установленным битом ACK, что позволяло начать TCP-сеанс с SYN-пакета с ненулевым ACK для вывода всего TCP-соединения из области проверки в Suricata. Подобные пакеты в Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимого.

  1. Главная ссылка к новости (https://suricata.io/2021/06/30...)
  2. OpenNews: Выпуск системы обнаружения атак Suricata 6.0
  3. OpenNews: Доступна система глубокого инспектирования пакетов nDPI 3.0
  4. OpenNews: Выпуск сканера сетевой безопасности Nmap 7.90
  5. OpenNews: Компания Cisco завершила сделку по покупке Sourcefire, развивающей Snort и ClamAV
  6. OpenNews: Релиз системы обнаружения атак Snort 3
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55415-suricata
Ключевые слова: suricata, ids
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, OnTheEdge (ok), 08:19, 01/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Подобные пакеты в Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимого

    а какого фига сеанс-то начинался в таком случае?

     
     
  • 2.2, Аноним (2), 08:25, 01/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что они знали, что все случаи пакетов как того описывают стандарты они обработать не сумеют. Потому если бы они дропали коннекшен, то у людей всё ломалось бы. Вот и решили пропускать всё непонятное и незнакомое.
     
  • 2.6, Аноним (6), 08:41, 01/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это не межсетевой экран, а IDS. Он не может влиять на трафик, только выполняет пассивный анализ.
     
  • 2.11, Ordu (ok), 18:51, 01/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://en.wikipedia.org/wiki/Robustness_principle
     

  • 1.3, ИмяХ (?), 08:26, 01/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Очень похоже на намеренный бекдор.
     
     
  • 2.8, Жироватт (ok), 08:55, 01/07/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не, тут скорее не бекдор, а просто уязвимость, позволяющая класть болт на один из проактивных анализаторов внешнего кольца защиты. "Сырная безопасность". Поправят, не впервой.
    Бекдор бы тут был, если это полностью выносило анализатор в безлоговый краш. Или делало пакеты недетектируемыми по некоторой битовой последовательности.
    Обиднее было бы, если бы это была бы дыра с уязвимостью, как в какой-то проприентари: о которой бы ты узнал не тут, а много потом, от энтузиаста-реверсовика, просто исследовавшего блоб.
     

  • 1.5, Жироватт (ok), 08:41, 01/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хех. И на старуху бывает порнуха
     
  • 1.10, YetAnotherOnanym (ok), 13:51, 01/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Подобные пакеты в Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимого
    > Проблема даёт возможность обойти любые анализаторы и проверки Suricata.

    Офигеть... То есть, если прилетело непонятно что - проходи?

     
  • 1.12, Аноним (12), 19:56, 01/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В nmap с лохматого года есть возможность скана такими пакетами.
     
  • 1.13, 404 (?), 21:31, 01/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    могу ли я, монголия, магнолия, заставить клиента ли или сервер тисипи выслать такой пакет? не имея рута. насколько это сложно?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру