Estas aquiContenido / Nueva vulnerabilidad permite sobrepasar cortafuegos y detectores de intrusiones
Nueva vulnerabilidad permite sobrepasar cortafuegos y detectores de intrusiones
El CERT estadounidense está alertando sobre una nueva vulnerabilidad que permitiría saltarse cortafuegos e IDS que analizan HTTP si el atacante utiliza una codificación Unicode especial.
La vulnerabilidad fue descubierta hace varias semanas por los investigadores turcos Fatih Ozavci y Caglar Cakici (de GamaSEC), pero no ha sido hecha pública hasta hace tan sólo unas horas.
El listado del US-CERT sobre fabricantes con posibles productos vulnerables incluye varias decenas. De momento, tan sólo Cisco ha confirmado la vulnerabilidad de algunos de sus productos, mientras los productos de HP y Apple parecen no ser vulnerables...
REFERENCIAS:
HTTP content scanning systems full-width/half-width Unicode encoding bypass [US-CERT].
Full-Width and Half-Width Unicode Encoding IDS/IPS/WAF Bypass Vulnerability [GamaSEC].
Cisco Security Response: HTTP Full-Width and Half-Width Unicode Encoding Evasion [Cisco].
Unicode encoding can be used to bypass intrusion detection systems [Heise News].
Unicode: Halfwidth and Fullwidth forms [pdf].
Versión para imprimir
Es posible que se me tache de tonto, pero me parece increible que Cisco, la grande en networking admita la vulnerabilidad mientras que otras no dicen ni mu.
O Cisco ya no es lo que era o algo no se quiere decir.
Siempre en mi humilde opinion, claro.
--
Escudero de la libertad, mi espada no atraviesa pero deslumbra. Laura H.
--
El hombre Sabio reconoce sus errores, los demás los ignoran.
El que calla, otorga.
Es mejor tener la boca cerrada y parecer tonto que abrirla y confirmalo.
De momento a esperar a la confirmación del resto :(
Lo primero, entendamos de lo que estamos hablando.
No se trata de que se pueda escarranchar el software como en las alertas a las que estamos acostumbrados hasta obtener un rootkit. Esto es distinto.
Se trata de que se utilizan codificaciones Unicode ilegítimas (que no ilegales) para falsear peticiones HTTP. Es como si para pedir un archivo árbol.txt al que te han denegado el acceso específicamente no lo pides como "a con tilde"-r-b-o-l-"punto"-t-x-t sino como "diacrítico tilde"-a-r-b-o-l-"punto"-t-x-t con lo que pasas el cortafuegos y luego el sistema que recibe la petición la interpreta correctamente y te da el fichero.
No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo. - Voltaire -
No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo.
- Voltaire -
Y curiosamente Sourcefire no...
(es interesante seguir los cambios en el listado del US-CERT).