CVE-2018-6794一把梭

关于Suricata:Suricata是一种高性能网络威胁检测,IDS,IPS和网络安全监控引擎。 开源并由社区运营的非营利基金会开放信息安全基金会(OISF)所有。 Suricata由OISF,其支持供应商和社区开发.

漏洞描述: 4.0.4之前的Suricata在detect.c和stream-tcp.c中容易出现HTTP检测绕过漏洞。 如果恶意服务器在3次握手完成之前中断正常的TCP流并发送数据,则恶意服务器发送的数据将被Web客户端(如Web浏览器或Linux CLI实用程序)接受,但被Suricata IDS忽略签名。 这主要影响HTTP协议和TCP流内容的IDS签名; TCP数据包的签名将照常检查此类网络流量。
在这里插入图片描述
Suricata IDS <4.0.4存在这种漏洞:HTTP或TCP流不会对注入的内容发出警报。如果我们对搭建的环境使用poc进行测试,会看不到任何关于异常的http响应数据的警报。成功利用可导致完整的TCP流响应或HTTP响应签名绕过,并可用于防止恶意有效负载进行网络检测。

漏洞分析:
检测引擎将绕过设置为丢弃的数据包。这会导致以下极端情况:触发丢弃的流事件无法与检测规则匹配。 由于绕过,带有事件的数据包不会进入检测引擎。
代码问题出现出现在detect.c
CVE-2018-6794一把梭_第1张图片
和stream-tcp.c
CVE-2018-6794一把梭_第2张图片
patch将逻辑更改为不再绕过DROP数据包。 流引擎丢弃的数据包将设置无有效负载检查标志,因此可以避免不必要的成本。

复现数据包分析:
正常的三次握手应由1,2,5组成
在这里插入图片描述
在tcp三次握手完成(5)之前,101主机注入通过http注入了恶意内容
CVE-2018-6794一把梭_第3张图片
之后才完成正常连接

Poc分析:
Poc由C语言编写
主函数:
中打印出参数用法说明,以及负责建立socket
CVE-2018-6794一把梭_第4张图片

定义恶意注入的数据:
在这里插入图片描述
声明数据包解析函数:
在这里插入图片描述
构造SYN_ACK数据包
CVE-2018-6794一把梭_第5张图片
对应为抓到的第二条
CVE-2018-6794一把梭_第6张图片

构造DATA数据包
CVE-2018-6794一把梭_第7张图片
对应的就是抓到的第三条
CVE-2018-6794一把梭_第8张图片

构造FIN数据包
CVE-2018-6794一把梭_第9张图片
对应就是抓到的第四条
CVE-2018-6794一把梭_第10张图片

构造ACK数据包
CVE-2018-6794一把梭_第11张图片
对应就是第五条
CVE-2018-6794一把梭_第12张图片

在构造时会涉及到tcp校验等功能,这些通用功能写在了server.h头文件中,针对本次分析并不重要稍微一提
CVE-2018-6794一把梭_第13张图片

你可能感兴趣的:(CVE-2018-6794一把梭)