München, 30. August 2011 – Sourcefire, Inc. (Nasdaq: FIRE), Erfinder von Snort® und führendes Unternehmen im Bereich der intelligenten Cybersecurity-Lösungen, gibt bekannt, dass sein Vulnerability Research Team (VRT) die Kunden vor dem neuen „Apache Killer“-Tool schützt. Das VRT bietet außerdem Schutz vor Attacken, die die unterliegende Schwachstelle ausnutzen. Die Fähigkeit zum Aufdecken des Bugs existiert bereits seit einigen Jahren sowohl im Sourcefire IPS als auch im Open-Source-Produkt Snort. Das VRT? ergänzt diesen Schutz durch eine zusätzliche Regel, die speziell dieses neue Exploit detektiert. Zudem hilft die Regel den Administratoren, das genaue Tool zu identifizieren, das für den Angriff auf sie benutzt wurde.
Mithilfe großer, falsch formatierter HTTP-Header gibt Apache Killer Angreifern die Möglichkeit, einen einzelnen PC zur Ausführung einer Denial-of-Service-Attacke zu nutzen. Der Angriff wird vom HTTP Inspect Preprocessor der Snort-Engine, die über eine Option zum Blockieren übergroßer HTTP-Header verfügt, ohne Schwierigkeiten erkannt. Im Laufe der Jahre wurde eine Vielzahl unterschiedlicher, gegen die verschiedensten Arten von Web-Servern gerichteten Attacken mit großen HTTP-Headern verschiedenartiger Typen geführt. Aus diesem Grund machte Sourcefire® diese Fähigkeit verfügbar, um vorbeugend neue Sicherheitslücken zu detektieren, wie im Fall des Apache Killer-Tools.
Ergänzend zu dieser existierenden Funktionalität der Snort-Engine erarbeitete das VRT außerdem eine neue Regel (GID 1, SID 19825) für Sourcefire IPS und Snort. Diese Regel sucht im HTTP-Text nach dem „Range:“-Request und detektiert Header, die exakt auf die nötige Weise unterteilt sind, um die von Apache Killer genutzte Schwachstelle zu triggern. Damit können Anwender das Apache Killer Exploit erkennen und blockieren, auch wenn sie die bereits existierende Funktion zum Aufdecken übergroßer HTTP-Header nicht nutzen wollen.
„Unsere Lösung für Apache Killer macht das enorme Ausmaß an Protokoll-Intelligenz und die Deep-Packet-Inspection-Fähigkeit der Snort-Engine deutlich“, berichtet Matt Watchinski, Vice President of Vulnerability Research bei Sourcefire. „Indem sie die Kunden zur Identifikation von anormalem Netzwerk-Traffic auf einer allgemeinen Ebene befähigt, sorgt die Snort Engine dafür, dass eine Vielzahl neuer Exploits erkannt wird, bevor es zu einer tatsächlichen Bedrohung kommt. Diese Flexibilität gibt den Netzwerk-Verteidigern die nötige Zeit, die Schwachstellen in ihrem Netzwerk zu beseitigen. Zudem bietet sie in jenen Fällen Schutz, in denen wie beim Apache Killer noch kein Patch verfügbar ist.“
Aktuelle Informationen über die Vorgehensweise von Sourcefire in Bezug auf dieses Problem finden Sie im Sourcefire VRT Blog.
Über das VRT
Das VRT ist eine Gruppe führender Netzwerksicherheits-Experten, die rund um die Uhr daran arbeiten, die neuesten Trends im Bereich der Hacker-Aktivitäten, der Angriffsversuche und der Sicherheitslücken zu erkennen, zu bewerten und Gegenmaßnahmen zu ergreifen. Einige der renommiertesten Sicherheits-Profis der Branche, darunter auch die Autoren mehrerer Standardwerke zum Thema Sicherheit, gehören dem Sourcefire VRT an. Das das Team ferner durch die enormen Ressourcen der Open-Source-Snort-Community unterstützt wird, stellt es die umfangreichste Gruppe dar, die sich speziell der Erforschung von Sicherheitslücken und den Fortschritten im Bereich der Netzwerksicherheits-Branche widmet.
Über Sourcefire
Sourcefire, Inc. (Nasdaq: FIRE), Snort-Erfinder und Open-Source-Innovator, ist weltweit führend auf dem Gebiet der Cyber-Security-Lösungen. Sourcefire verändert die Art und Weise, wie Global-2000-Organisationen und staatliche Einrichtungen die bestehenden Netzwerksicherheits-Risiken beherrschen und minimieren. Die IPS und Real-time Adaptive Security-Lösung von Sourcefire gibt den Kunden ein ebenso effizientes wie effektives, mehrstufiges Schutzschild an die Hand, das den Netzwerk-Ressourcen vor, während und nach einer Attacke Sicherheit bietet. Von Kunden, den Medien und Branchen-Analysten hat Sourcefire über die Jahre immer wieder Anerkennung für seine Innovationen und seine führende Position in der Industrie erhalten und wurde mit mehr als 40 Preisen und Auszeichnungen bedacht. Inzwischen sind Sourcefire und der Firmengründer Martin Roesch zu Synonymen für Innovation und Intelligenz im Bereich der Netzwerksicherheit geworden. Weitere Informationen über Sourcefire finden Sie unter http://www.sourcefire.com.
Kontakt:
Sourcefire
Suzy Worbey
West Forest Gate, Wellington Road
RG40 2A Wokingham Berkshire
0044 118 989 8320
www.sourcefire.com
sworbey@sourcefire.com
Pressekontakt:
HBI GmbH
Antonia Contato
Stefan-George-Ring 2
81929 München
antonia_contato@hbi.de
00498999388742
http://www.hbi.de