Une faille non seulement critique mais surtout particulièrement simple à exploiter vient d’être annoncée pour Snort. L’outil Libre de détection d’intrusion pourrait être utilisé par un attaquant pour prendre le contrôle du serveur qui l’héberge. Il suffit pour cela d’être en mesure d’envoyer des paquets UDP piégés sur un réseau surveillé par Snort, ce qui n’est pas très difficile. Une version corrigée est disponible.
Selon la société ISS, une faille particulièrement simple à exploiter frappe l’IDS Libre Snort. Elle toucherait les versions 2.4.0 jusqu’à 2.4.2.La bourde se situe dans une extension (un préprocesseur) destinée à identifier le trafic du cheval de Troie Back Orifice. Il suffirait à un attaquant de faire parvenir à l’IDS des paquets UDP piégés pour être en mesure d’exécuter du code sur le serveur avec les droits de Snort. Et puisque ce dernier est généralement installé avec les droits d’administration cela revient tout simplement à en prendre le contrôle.Outre sa simplicité de mise en oeuvre, l’alerte est jugée particulièrement sérieuse car il n’est pas nécessaire d’attaquer directement le serveur de l’IDS pour exploiter cette vulnérabilité : il suffit d’être en mesure d’envoyer des paquets sur un réseau surveillé par Snort.Une version corrigée est disponible (2.4.3) est il est très vivement conseillé de mettre à jour l’IDS, tout particulièrement s’il est destiné à surveiller un réseau ou des hôtes accessibles publiquement (ce qui est souvent le cas). Si la mise à jour immédiate n’est pas possible, il est alors conseillé de désactiver le préprocesseur Back Orifice.Il est à noter, enfin, que Snort est embarqué dans de très nombreux boîtiers de sécurité multi-fonctions, et ces derniers devront évidemment être mis à jour eux aussi. Cela ne posera probablement aucun problème avec les éditeurs suffisamment honnêtes pour admettre l’utilisation de Snort dans leur appliance, et suffisamment professionnels pour en assurer les mises à jour. En revanche, les nombreux charlatans fournisseurs de « solutions propriétaires exclusives » qui intègrent en douce des produits Libres seront peut-être tentés d’attendre la prochaine mise à jour programmée plutôt que de fournir un correctif immédiat. Mise à jour du 22/10/05 : Selon l’ISC, un organisme de veille reconnu, l’exploitation massive de la faille serait proche. Il n’aurait fallu que deux heures à un consultant sécurité pour écrire un exploit fonctionnel.