关于Suricata:Suricata是一种高性能网络威胁检测,IDS,IPS和网络安全监控引擎。 开源并由社区运营的非营利基金会开放信息安全基金会(OISF)所有。 Suricata由OISF,其支持供应商和社区开发.
漏洞描述: 4.0.4之前的Suricata在detect.c和stream-tcp.c中容易出现HTTP检测绕过漏洞。 如果恶意服务器在3次握手完成之前中断正常的TCP流并发送数据,则恶意服务器发送的数据将被Web客户端(如Web浏览器或Linux CLI实用程序)接受,但被Suricata IDS忽略签名。 这主要影响HTTP协议和TCP流内容的IDS签名; TCP数据包的签名将照常检查此类网络流量。
Suricata IDS <4.0.4存在这种漏洞:HTTP或TCP流不会对注入的内容发出警报。如果我们对搭建的环境使用poc进行测试,会看不到任何关于异常的http响应数据的警报。成功利用可导致完整的TCP流响应或HTTP响应签名绕过,并可用于防止恶意有效负载进行网络检测。
漏洞分析:
检测引擎将绕过设置为丢弃的数据包。这会导致以下极端情况:触发丢弃的流事件无法与检测规则匹配。 由于绕过,带有事件的数据包不会进入检测引擎。
代码问题出现出现在detect.c
和stream-tcp.c
patch将逻辑更改为不再绕过DROP数据包。 流引擎丢弃的数据包将设置无有效负载检查标志,因此可以避免不必要的成本。
复现数据包分析:
正常的三次握手应由1,2,5组成
在tcp三次握手完成(5)之前,101主机注入通过http注入了恶意内容
之后才完成正常连接
Poc分析:
Poc由C语言编写
主函数:
中打印出参数用法说明,以及负责建立socket
定义恶意注入的数据:
声明数据包解析函数:
构造SYN_ACK数据包
对应为抓到的第二条
构造DATA数据包
对应的就是抓到的第三条
构造FIN数据包
对应就是抓到的第四条
构造ACK数据包
对应就是第五条
在构造时会涉及到tcp校验等功能,这些通用功能写在了server.h头文件中,针对本次分析并不重要稍微一提
