Surveillance réseau : Snort victime d’une faille critique

Cloud

Le logiciel open source de détection d’intrusion réseau Snort permet à un
attaquant d’exécuter du code distant.

Le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques, organisme dépendant de la Direction centrale de la sécurité des systèmes d’information) alerte sur une vulnérabilité critique du logiciel Snort. Selon le centre de veille, qui s’appuie d’ailleurs sur les sources du CERT, son homologue américain, la faille en question permettrait à un utilisateur malveillant d’exécuter du code arbitraire à distance. Ce qui est particulièrement problématique pour une application dédiée à la détection d’intrusion des réseaux informatique.

Qui plus est, Snort est un logiciel libre, largement déployé en entreprises et administrations, selon le CERT. Une donnée que tend à confirmer le fait que le CERTA français émette une alerte spécifique à son encontre. Selon Sourcefire, la société américaine fondée par Martin Roesch, le créateur de Snort, l’application de surveillance a été téléchargée plus de 3 millions de fois.

Nouvelle version corrigée

Les versions 2.6.1, 2.6.1.1, 2.6.1.2 et 2.7.0 bêta 1 de Snort sont affectées par la faille due à « une erreur de traitement par le préprocesseur DCE/RPC [qui] conduit à un mauvais réassemblage de trafic fragmenté », selon l’alerte 2007-AVI-095 du CERTA. Un pirate pourrait donc exploiter la vulnérabilité en envoyant des paquets TCP modifiés à un réseau surveillé par Snort pour le pénétrer.

Plus embêtant, Snort est également un composant des solutions Intrusion Sensor et Intrusion Sensor for Crossbeam de Sourcefire dans leurs versions .1.x, 4.5.x, 4.6.x (avec SEU antérieur à SEU 64). Le CERT souligne que d’autres produits exploitant Snort pourraient être affectés. Sourcefire a naturellement pris le problème au sérieux et recommande de mettre à jour Snort vers sa version 2.6.1.3 corrigée.