Nueva vulnerabilidad permite sobrepasar cortafuegos y detectores de intrusiones

mayo 16, 2007 § Deja un comentario

El CERT estadounidense está alertando sobre una nueva vulnerabilidad que permitiría saltarse cortafuegos e IDS que analizan HTTP si el atacante utiliza una codificación Unicode especial.

La vulnerabilidad fue descubierta hace varias semanas por los investigadores turcos Fatih Ozavci y Caglar Cakici, pero no ha sido hecha pública hasta hace tan sólo unas horas.

El listado del US-CERT sobre fabricantes con posibles productos vulnerables incluye varias decenas. De momento, tan sólo Cisco ha confirmado la vulnerabilidad de algunos de sus productos, mientras los productos de HP y Apple parecen no ser vulnerables…

REFERENCIAS:
HTTP content scanning systems full-width/half-width Unicode encoding bypass [US-CERT].
Cisco Security Response: HTTP Full-Width and Half-Width Unicode Encoding Evasion [Cisco].
Unicode encoding can be used to bypass intrusion detection systems [Heise News].
Unicode: Halfwidth and Fullwidth forms [pdf].

Fuente: http://www.kriptopolis.org/unicode-ids

Tres nuevas guías NIST

marzo 9, 2007 § Deja un comentario

En el mes de Febrero, NIST (National Institute of Standards and Technology de EEUU) ha publicado o actualizado tres nuevas guías relativas a seguridad de la información. Son las siguientes:

SP800-94: Guía de Sistemas de Detección y Prevención de Intrusiones.
SP800-45: Guía de Seguridad de Correo Electrónico.
SP800-97: Guía de IEEE 802.11i (redes inalámbricas seguras).

Fuente: http://www.iso27000.es/

Los IDS como instrumento de lucha contra los exploits y el malware

enero 15, 2007 § Deja un comentario

Luchar contra el malware y las vulnerabilidades mediante la adición de firmas al IDS.

Parece prácticamente inexcusable que a estas alturas cualquier red que se precie proteger cuente con mecanismos de detección de intrusos.

De entre las múltiples opciones que poseen los administradores, hay un sistema de detección bastante popular. Se trata de Snort, un buen sistema de detección que además, es libre y gratuíto.

Una de las grandes ventajas de Snort es que admite la carga de firmas específicas para determinadas vulnerabilidades, factor interesante a tener en cuenta a la hora de minimizar el riesgo que proviene de la existencia de exploits masivos que puden atacar nuestra infraestructura.

Así por ejemplo, a raíz de la reciente publicación de MS06-042, sobre la que se habló extensamente ayer en una-al-día, han aparecido algunos exploits on the wild que pueden ser detenidos con ayuda de nuestro amigo Snort.

Para ello, basta con añadir firmas que permitan identificar estos exploits. Desde la firma más genérica, del tipo alert tcp any any -> any $RPC_PORTS (msg:”US-CERT MS06-040 Indicator”; content:”| 90 90 EB 04 2B 38 03 78 |”; classtype:malicious-activity; sid:1000003; rev:1;), a firmas más elaboradas, que incluyen información suficiente para identificar al vuelo los exploits conocidos para un determinado problema de seguridad.

Para entender la secuencia PCRE que sirve habitualmente como firma para un IDS como Snort, basta con acudir a una referencia Regular Expression Basic Syntax Reference, en la que se estandariza la sintaxis adecuada para codificar firmas adecuadamente. Estas PCRE son las llamadas Perl Compatible Regular Expressions, orientadas a ofrecer patrones de coincidencia (matching) en expresiones regulares.

Este tipo de firmas pueden ser consultadas y descargadas de servicios como Bleeding Edge Snort. Otro ejemplo interesante de firma sirve para contrarrestar el reciente troyano que se comunica vía túnel ICMP, y sobre el que habló Julio en nuestro blog del laboratorio.

Fuente: http://www.hispasec.com/corporate/noticias/127

¿Dónde estoy?

Actualmente estás explorando la categoría ids en Seguridad Informática.