Güvenlik Duyuruları
GS07-02 RSA Keon XSS Açıkları
GS07-01 %uff Kodlama ile IDS/IPS Atlatılması
Araştırma Raporları
Güvenlik Denetimleri Sonuç Raporu (2006)
Dökümanlar
Makaleler
Sunumlar
Bilgi Güvenliği Denetiminde Özgür Yazılımlar
Bir Güvenlik Açığının Bulunması
IPS Güvenliği ve Zaafiyetleri
Metasploit Framework ile Guvenlik Denetimi
Exploit Geliştirme Altyapıları
Araçlar
GamaSEC Exploit Framework
GamaSEC Audit Framework
GS07-01 Tam/Yarım Genişlikteki Evrensel Dil Kodlaması ile Saldırı Tespit ve Önleme Sistemlerinin Aşılması

Tarih & Sürüm : 14/04/2007 - 1.4

Açıklama :

Çeşitli HTTP temelli içerik tarama sistemleri (saldırı tespit/önleme sistemleri ve web uygulama güvenlik duvarları) tam veya yarım genişlikteki evrensel dil kodlaması kullanılan istekleri doğru biçimde tarayamamaktadır. Bu durum özel hazırlanmış içerik ile HTTP içerik tarama sistemlerinin atlatılmasına izin vermektedir.

HTTP içerik tarama sistemleri (saldırı tespit/önleme sistemleri ve web uygulama güvenlik duvarları) farklı türlerde kodlanmış HTTP isteklerini çözümlemek için ön işlemcilere sahiptir. Tam ve yarım genişlik kodlama ise evrensel kodlama standartlarının bir türüdür. Tam veya yarım genişlikte evrensel dil kodlaması uygulanmış HTTP istekleri kullanılarak, içerik tarama ve saldırı tespit sistemleri atlatılabilmektedir.

Bazı açık kaynaklı uygulamalar veya Microsoft IIS ve .NET Framework gibi Microsoft uygulamaları tam/yarım genişlikli evrensel dil kodlamasını desteklemektedir. Ancak çoğu saldırı tespit/önleme sistemleri ile web uygulama güvenlik duvarları tam/yarım genişlikli evrensel dil kodlaması (%uff) uygulanmış HTTP isteklerini doğru biçimde çözümleyememekte, küçük/büyük karakter değişimlerini ve karakter eşlemesini doğru biçimde yapamamaktadır. Özel üretilmiş bir HTTP iletişimini, HTTP içerik tarama sistemine göndereren bir saldırgan içerik denetim sistemini atlatabilmektedir.

Risk Seviyesi : Yüksek

Etki Türü : Güvenlik Önlemlerinin Aşılması

Etkilenen Sistemler :

Checkpoint Web Intelligence
Internet Security Systems, Inc.: Proventia A Series
Internet Security Systems, Inc.: Proventia G Series
Internet Security Systems, Inc.: Proventia M Series
Cisco Intrusion Prevention System (IPS) 5.x
Cisco IOS 10.x 11.x 12.x
McAfee IntruShield Sensor Software 3.1
McAfee IntruShield Sensor Software 2.1
3Com TippingPoint X505
3Com TippingPoint X506
3Com TippingPoint 50
3Com TippingPoint 200
3Com TippingPoint 200E
3Com TippingPoint 600E
3Com TippingPoint 1200E
3Com TippingPoint 2400E
3Com TippingPoint 5000E
3Com TippingPoint SMS (Enterprise-Level Management System)
3Com TippingPoint ZPHA (Zero Power High Availability)
Üreticilerin Tam Listesi : (CERT - Vulnerability Note VU#739224) [3]

Çözüm :

Kullanılan ürünlerin üreticisi ile irtibata geçilmeli, gerekli yama, güncelleme veya ileri düzey yapılandırmalar hakkında bilgi alınmalıdır.

Güvenlik Açığını Keşfedenler :

Fatih Özavcı (GamaTEAM Üyesi)
Çağlar Çakıcı (GamaTEAM Üyesi)
GamaSEC Exploit Framework kullanılarak saptanmıştır.
GamaSEC Bilgi Güvenliği Denetim ve Danışmanlık Servisleri
(www.gamasec.net)

Güvenlik Açığının Bağlantısı :
http://www.gamasec.net/gs07-01.html

Referanslar :
  1. CVE ID : CVE-2007-2688 CVE-2007-2689 CVE-2007-2690

  2. Security Focus Bugtraq ID : 23980
    http://www.securityfocus.com/bid/23980

  3. CERT - Vulnerability Note VU#739224
    http://www.kb.cert.org/vuls/id/739224

  4. Unicode Home Page
    http://unicode.org

  5. Unicode.org, Halfwidth and Fullwidth Forms
    http://www.unicode.org/charts/PDF/UFF00.pdf

  6. FrSIRT - 3Com TippingPoint IPS Products Unicode Characters Detection Evasion Vulnerability
    http://www.frsirt.com/english/advisories/2007/1817

  7. 3COM TippingPoint - 3COM-07-001 TippingPoint IPS Unicode Evasion
    http://www.3com.com/securityalert/alerts/3COM-07-001.html

  8. FrSIRT - Cisco IPS Full/Half Width Unicode Characters Handling Detection Evasion Vulnerability
    http://www.frsirt.com/english/advisories/2007/1803

  9. Secunia - Cisco Products HTTP Unicode Encoding Detection Bypass
    http://secunia.com/advisories/25285/

  10. Cisco Security Response: HTTP Full-Width and Half-Width Unicode Encoding Evasion
    http://www.cisco.com/warp/public/707/cisco-sr-20070514-unicode.shtml

  11. ISC Sans Diary - Full-Width/Half-Width Unicode Bypasses HTTP Scanning
    http://isc.sans.org/diary.html?storyid=2807

  12. Check Point Web Intelligence Lets Remote Users Evade Detection With Certain Character Encodings
    http://securitytracker.com/alerts/2007/May/1018067.html

  13. McAfee Security Bulletin - IntruShield signature prevents published full/half width Unicode character obfuscation technique [612970]
    UDS-HTTP: Possible full-width and half-width unicode encoding evasion

Ana Sayfa | Hakkımızda | GamaTEAM | Hizmetler | Akademi | GamaLAB| Basın Odası| İletişim

© GamaSEC. Designed by GamaTEAM