News
Sourcefire protège les entreprises contre l’attaque de type « APACHE Killer »
août 2011 par Marc Jacob
Sourcefire Inc. annonce que son équipe VRT (Vulnerability Research Team) protège les entreprises contre les attaques de type « Apache Killer », ainsi que les vulnérabilités liées à cette attaque. Les fonctionnalités de détection d’anomalies sur le réseau sont présentes depuis plusieurs années à la fois dans l’IPS de Sourcefire et l’outil IDS open source de Snort ; aujourd’hui, VRT™ renforce ces fonctionnalités avec la création d’une nouvelle règle qui détecte spécifiquement ce nouveau type d’attaques et permet aux administrateurs d’identifier les outils spécifiques utilisés pour attaquer les systèmes d’information.
Grâce à l’utilisation des adresses http, Apache Killer permet à un hacker d’utiliser un simple PC pour effectuer une attaque déni de service. Celle-ci est facilement détectée par le moteur Snort qui bénéficie d’une option pour bloquer les adresses http surdimensionnées. Puisque de nombreuses attaques contre différents types de serveurs web ont employé une grande variété d’adresses http ces dernières années, cette fonctionnalité a été rendue disponible par Sourcefire® afin de détecter de manière proactive les nouvelles vulnérabilités, comme c’est le cas avec l’outil d’Apache Killer.
En plus de cette fonctionnalité existante dans le moteur Snort, VRT a également créée une nouvelle règle (GID 1, SID 19825) pour l’IPS de Sourcefire et Snort. Cette règle recherche le header http « Range » : une adresse spécifique et nécessaire pour empêcher la vulnérabilité utilisée par Apache Killer, permettant aux utilisateurs de détecter et de bloquer l’attaque Apache Killer même si la fonctionnalité de détection d’adresse http surdimensionnée intégrée dans la solution n’a pas été activée.
