Pressemitteilung von Antonia Contato

Sourcefire schützt seine Kunden vor Apache Killer Exploit

---

---

München, 30. August 2011 - Sourcefire, Inc. (Nasdaq: FIRE), Erfinder von Snort® und führendes Unternehmen im Bereich der intelligenten Cybersecurity-Lösungen, gibt bekannt, dass sein Vulnerability Research Team (VRT) die Kunden vor dem neuen "Apache Killer"-Tool schützt. Das VRT bietet außerdem Schutz vor Attacken, die die unterliegende Schwachstelle ausnutzen. Die Fähigkeit zum Aufdecken des Bugs existiert bereits seit einigen Jahren sowohl im Sourcefire IPS als auch im Open-Source-Produkt Snort. Das VRT™ ergänzt diesen Schutz durch eine zusätzliche Regel, die speziell dieses neue Exploit detektiert. Zudem hilft die Regel den Administratoren, das genaue Tool zu identifizieren, das für den Angriff auf sie benutzt wurde.

Mithilfe großer, falsch formatierter HTTP-Header gibt Apache Killer Angreifern die Möglichkeit, einen einzelnen PC zur Ausführung einer Denial-of-Service-Attacke zu nutzen. Der Angriff wird vom HTTP Inspect Preprocessor der Snort-Engine, die über eine Option zum Blockieren übergroßer HTTP-Header verfügt, ohne Schwierigkeiten erkannt. Im Laufe der Jahre wurde eine Vielzahl unterschiedlicher, gegen die verschiedensten Arten von Web-Servern gerichteten Attacken mit großen HTTP-Headern verschiedenartiger Typen geführt. Aus diesem Grund machte Sourcefire® diese Fähigkeit verfügbar, um vorbeugend neue Sicherheitslücken zu detektieren, wie im Fall des Apache Killer-Tools.

Ergänzend zu dieser existierenden Funktionalität der Snort-Engine erarbeitete das VRT außerdem eine neue Regel (GID 1, SID 19825) für Sourcefire IPS und Snort. Diese Regel sucht im HTTP-Text nach dem "Range:"-Request und detektiert Header, die exakt auf die nötige Weise unterteilt sind, um die von Apache Killer genutzte Schwachstelle zu triggern. Damit können Anwender das Apache Killer Exploit erkennen und blockieren, auch wenn sie die bereits existierende Funktion zum Aufdecken übergroßer HTTP-Header nicht nutzen wollen.

"Unsere Lösung für Apache Killer macht das enorme Ausmaß an Protokoll-Intelligenz und die Deep-Packet-Inspection-Fähigkeit der Snort-Engine deutlich", berichtet Matt Watchinski, Vice President of Vulnerability Research bei Sourcefire. "Indem sie die Kunden zur Identifikation von anormalem Netzwerk-Traffic auf einer allgemeinen Ebene befähigt, sorgt die Snort Engine dafür, dass eine Vielzahl neuer Exploits erkannt wird, bevor es zu einer tatsächlichen Bedrohung kommt. Diese Flexibilität gibt den Netzwerk-Verteidigern die nötige Zeit, die Schwachstellen in ihrem Netzwerk zu beseitigen. Zudem bietet sie in jenen Fällen Schutz, in denen wie beim Apache Killer noch kein Patch verfügbar ist."

Aktuelle Informationen über die Vorgehensweise von Sourcefire in Bezug auf dieses Problem finden Sie im Sourcefire VRT Blog.

Über das VRT
Das VRT ist eine Gruppe führender Netzwerksicherheits-Experten, die rund um die Uhr daran arbeiten, die neuesten Trends im Bereich der Hacker-Aktivitäten, der Angriffsversuche und der Sicherheitslücken zu erkennen, zu bewerten und Gegenmaßnahmen zu ergreifen. Einige der renommiertesten Sicherheits-Profis der Branche, darunter auch die Autoren mehrerer Standardwerke zum Thema Sicherheit, gehören dem Sourcefire VRT an. Das das Team ferner durch die enormen Ressourcen der Open-Source-Snort-Community unterstützt wird, stellt es die umfangreichste Gruppe dar, die sich speziell der Erforschung von Sicherheitslücken und den Fortschritten im Bereich der Netzwerksicherheits-Branche widmet.
Firmen- & Pressekontakt