L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de IDS, IPS : Advanced Evasion Techniques

Synthèse de la vulnérabilité 

Vingt trois cas de techniques standards de variation de paquets ne sont pas détectées par la majorité des IDS/IPS.
Produits impactés : FW-1, CheckPoint Security Gateway, VPN-1, Cisco IPS, TippingPoint IPS, McAfee NTBA, Snort.
Gravité de ce bulletin : 2/4.
Nombre de vulnérabilités dans ce bulletin : 23.
Date de création : 17/12/2010.
Références de cette menace : CVE-2010-0102, SBP-2010-31, SBP-2010-32, SBP-2010-33, SBP-2010-34, SBP-2010-35, VIGILANCE-VUL-10227.

Description de la vulnérabilité 

Les IDS/IPS capturent les trames réseau, et analysent leurs contenus, afin de détecter des tentatives d'intrusion. Les attaquants font légèrement varier les paquets réseau, afin de contourner les IDS/IPS. Vingt trois cas de techniques standards de variation de paquets ne sont pas détectées par la majorité des IDS/IPS. Ces 23 cas concernent les protocoles IPv4, TCP, SMB et MSRPC. Ils sont basés sur des méthodes connues depuis 12 ans. Stonesoft a nommé ces cas "Advanced Evasion Techniques". Ils ont été annoncés dans VIGILANCE-ACTU-2612.

Un attaquant peut envoyer un paquet SMB Write avec une valeur "writemode" spéciale, suivi d'autres paquets SMB Write qui seront ignorés. [grav:2/4]

Un attaquant peut scinder les données de SMB Write en paquets ne contenant qu'un seul octet, encapsulés dans de petits fragments IPv4/TCP. [grav:2/4]

Un attaquant peut dupliquer chaque paquet IPv4, en lui ajoutant des options IPv4. [grav:2/4]

Un attaquant peut fragmenter les requêtes MSRPC en paquets contenant au plus 25 octets de données. [grav:2/4]

Un attaquant peut envoyer des messages MSRPC où tous les entiers sont encodés en Big Endian au lieu de Little Endian. [grav:2/4]

Un attaquant peut modifier les drapeaux NDR des messages MSRPC. [grav:2/4]

Un attaquant peut créer des messages MSRPC fragmentés dans des requêtes SMB fragmentées. [grav:2/4]

Un attaquant peut fragmenter des messages SMB en blocs contenant un octet de données. [grav:2/4]

Un attaquant peut fragmenter des messages SMB en blocs contenant au plus 32 octets de données. [grav:2/4]

Un attaquant peut employer un nom de fichier SMB commençant par "inutile\..\". [grav:2/4]

Un attaquant peut employer des segments TCP se chevauchant. [grav:2/4]

Un attaquant peut envoyer des segments TCP dans le désordre. [grav:2/4]

Un attaquant peut fragmenter des données TCP en blocs d'un octet. [grav:2/4]

Un attaquant peut utiliser une deuxième session TCP utilisant les mêmes numéros de port. [grav:2/4]

Un attaquant peut utiliser une session TCP, donc le premier octet est envoyé avec le drapeau urgent. [grav:2/4]

Un attaquant peut employer un message NetBIOS, dont les données ressemblent à une requête HTTP GET. [grav:2/4]

Un attaquant peut injecter 5 SMB Write dans une session SMB Write. [grav:2/4]

Un attaquant peut fragmenter une requête MSRPC dans des paquets TCP envoyés dans l'ordre inverse. [grav:2/4]

Un attaquant peut fragmenter une requête MSRPC dans des paquets TCP envoyés dans un ordre aléatoire. [grav:2/4]

Un attaquant peut fragmenter une requête MSRPC dans des paquet TCP envoyés avec un numéro de séquence initial proche de 0xFFFFFFFF. [grav:2/4]

Un attaquant peut envoyer un paquet NetBIOS vide, avant chaque message NetBIOS. [grav:2/4]

Un attaquant peut envoyer un paquet NetBIOS de type invalide, avant chaque message NetBIOS. [grav:2/4]

Un attaquant peut employer une variation inconnue. [grav:2/4]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte sécurité concerne les logiciels ou systèmes comme FW-1, CheckPoint Security Gateway, VPN-1, Cisco IPS, TippingPoint IPS, McAfee NTBA, Snort.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin cybersécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 23 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cet avis de vulnérabilité informatique.

Solutions pour cette menace 

Check Point : solutions pour Advanced Evasion Techniques.
Les documents Check Point indiquent comment activer les protections.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une base de vulnérabilités logicielles. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.