Evasión de detección de reglas en Snort

Snort es uno de los IDS (Sistema de Detección de Intrusiones) más extendidos. Distribuido de forma gratuita como Open Source, Snort puede detectar casi todos los patrones de ataque conocidos basándose en el análisis de los paquetes de red según unas bases de datos de firmas, además de reglas genéricas. Habitualmente la función de estos detectores es la de alertar sobre actividades sospechosas a través de cualquier mecanismo, aunque en ocasiones puede usarse para lanzar medidas destinadas a mitigar de forma automática el posible problema descubierto por el sensor.

Si un atacante remoto envía una URL especialmente manipulada que contenga un retorno de carro justo antes de la declaración de protocolo HTTP, puede eludir la detección de reglas “uricontent”, por lo que se ven afectadas cientos de reglas de la base de datos de Snort.

En la práctica, un atacante podría hacer pasar inadvertidos ciertos tipos de ataque. Para que el problema pueda ser aprovechado, es necesario que el servidor web protegido soporte caracteres especiales en peticiones HTTP.

El fallo está siendo aprovechado activamente, y ha sido detectado por Blake Hartstein, miembro del Demarc Threat Research Team, que habla de una “evasión de Snort a gran escala”. En la página original también se ha publicado la forma de aprovechar la vulnerabilidad.

Debido a la gravedad del problema, se ha publicado un parche no oficial desde la página de los descubridores, aunque se publicará una versión oficial no vulnerable el día 5 de junio.