XMCO : Contournements des règles de Snort via l’envoi de paquets fragmentés
mai 2008 par XMCO PARTNERS
Une vulnérabilité vient d’être corrigée concernant le logiciel de détection d’intrusion (IDS) Snort. Un attaquant était en mesure de contourner certaines restrictions de sécurité en exploitant cette faille de sécurité.
Le problème est dû à une erreur lors du traitement de certains paquets IP. Lorsque Snort reçoit des paquets fragmentés, le logiciel de détection d’intrusion vérifie la valeur du TTL de chaque fragment et la compare au TTL du fragment initial. Si la différence entre ces deux valeurs est supérieure à la valeur configurée par défaut (5) dans Snort, les paquets en question sont alors rejetés. La sonde IDS ne sera pas en mesure d’analyser la communication.
En envoyant des paquets fragmentés spécialement conçus, une personne mal intentionnée pouvait éviter la détection de signatures.