Vigil@nce : Snort, contournement par fragmentation
mai 2008 par Vigil@nce
Un attaquant peut fragmenter ses paquets IP afin de contourner
toutes les règles Snort.
– Gravité : 3/4
– Conséquences : transit de données, camouflage
– Provenance : client internet
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 22/05/2008
– Référence : VIGILANCE-VUL-7846
PRODUITS CONCERNÉS
Snort [versions confidentielles]
DESCRIPTION
Le préprocesseur frag3_engine de Snort réassemble les fragments IP.
L’option ttl_limit de ce préprocesseur définit la différence
maximale admise entre les TTL des fragments à réassembler. Par
défaut, ttl_limit vaut 5, donc les fragments suivants sont
acceptés :
– premier paquet IP avec un TTL de 40
– deuxième paquet IP avec un TTL de 41 (il peut légitimement
avoir emprunté une route différente)
Les fragments suivants sont rejetés, sans journalisation :
– premier paquet IP avec un TTL de 40
– deuxième paquet IP avec un TTL de 46
Cette option est inutile. Elle provient d’une erreur de conception
de Snort 2.6 et 2.8.
Si l’attaquant fragmente ses paquets IP avec des TTL différents,
il contourne ainsi toutes les règles Snort.
CARACTÉRISTIQUES
– Références : BID-29327, CVE-2008-1804, VIGILANCE-VUL-7846
– Url : https://vigilance.aql.fr/arbre/1/7846