Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network
 



Team Void




Бразильский системный инженер Andre Fucs de Miranda недавно обнаружил уязвимость в известной системе обнаружения RealSecure 3.2, поставляемой компанией Internet Security Systems. Уязвимость была обнаружена в ходе штатного тестирования ядра RealSecure 3.2.x. Ядро ответственно за проверку и запись в логи пакетов, попавших в категорию "подозрительные". Были протестированы версии RealSecure для Solaris (3.2.2 и 3.2.1) и для WinNT (3.2.1). Тесты, которые производились над системой под Solaris, показали что выключение обнаружения атак типа SYNFLOOD и IPFRAG позволит предотвратить сбой ядра в условиях, описанных ниже.




Сбой в результате процессирования фрагментированных пакетов с установленным флагом SYN приводит к немедленному сбою и останову ядра REALSECURE, что приводит к невозможности дальнейшего обнаружения атак. 




В версии для SOLARIS процесс network_engine, являющийся процессом RealSecure, вылетает по сигналу 11, производя дамп ядра. 




В версии для NT, процесс REALSECURE после сбоя рестартует, и сведения об событии остаются в Application Log Event Windows NT. Тест показал, что мощный и продолжительный поток SYN-пакетов (флуд) приведёт к возрастанию загрузки процессора до 100%. Во время такй атаки, realsecure неспособна отслеживать другие, параллельно идущие атаки.




Тесты показали, что версия для SOLARIS имеет ещё одну уязвимость при обработке SYN-пакетов. Во время флуда пакетами с установленными кроме SYN флагами возможно вывести из строя ядро с результатами, описанными выше. 50 пакетов в минуту - вполне достаточная скорость, чтобы привести к сбою. Обе версии (и для NT, и для SOLARIS) не рапортуют о подобной атаке. Версия для NT способна обнаружить атаку фрагментированными SYN-пакетами как простой SYN-флуд.




Разработчику системы было доложено о вышеописаных фактах, и он обещал ликвидировать недочёт в ближайшем релизе системы обнаружения атак.


Ссылки по статье:

www.securityfocus.com - SECURITYFOCUS

www.iss.net - INTERNET SECURITY SYSTEMS

www.infosec.ru - НИП "Информзащита", русский дистрибьютор продуктов ISS




 duke.




          

       
          
             <== Back to main page