Roma – Snort , programma open source che si autodefinisce “lo standard de facto per l’intrusion detection”, è finito in questi giorni sotto i riflettori della comunità di esperti di sicurezza. Le release del software precedenti alla 2.4.x, esclusa l’appena rilasciata 2.4.3, contengono infatti una vulnerabilità che potrebbe mettere in serio pericolo la sicurezza di molti server aziendali.
Lo US-CERT, che ha dedicato al problema questo advisory , spiega che la falla è contenuta nel plug-in utilizzato da Snort per rilevare il famoso e controverso programma Back Orifice . Il bug consiste in un buffer overflow che può consentire ad un aggressore di eseguire del codice da remoto con gli stessi privilegi con cui gira Snort, tipicamente quelli di root o system.
“Ciò significa che un aggressore può prendere il controllo completo di un sistema vulnerabile”, si legge nel rapporto dello US-CERT. “L’aggressore non ha bisogno di attaccare direttamente il sensore di Snort: gli è sufficiente prendere a bersaglio qualsiasi host o rete monitorati da Snort”.
Sebbene la vulnerabilità possa essere sfruttata solo se la rilevazione di Back Orifice è attiva, la portata del problema appare ugualmente molto ampia: Snort è infatti il software di intrusion detection e prevention più diffuso sul mercato, e il suo codice si trova all’interno di diversi pacchetti commerciali. Tra questi vi sono quelli venduti dalla stessa società che sviluppa Snort, Sourcefire , che fra l’altro sta per essere acquisita da Check Point .
Il problema di Snort ha spinto l’ Internet Storm Center di SANS Institute ad elevare il proprio livello di allerta, chiamato “infocon”, a giallo: lo stesso utilizzato all’epoca della propagazione del famigerato worm Blaster.
Oltre a correggere il bug, la nuova versione 2.4.3 di Snort è in grado di rilevare eventuali exploit progettati per sfruttare la recente vulnerabilità.
Ti potrebbe interessare
20 ott 2005