Unicode-Kodierung ermöglicht Umgehung von Intrusion-Detection-Systemen
Der Erkennung von Einbruchsversuchen durch Intrusion-Detection-Systeme könnten Angreifer möglicherweise mit einer speziellen Unicode-Kodierung entgehen.
Der Erkennung von Einbruchsversuchen durch Intrusion-Detection- oder Intrusion-Prevention-Systeme (IDS/IPS) könnten Angreifer möglicherweise mit einer speziellen Unicode-Kodierung entgehen. Nutzen bösartige Individuen die so genannten full-width- beziehungsweise half-width-Unicode-Kodierungen bei der Übertragung beispielsweise von http-Verkehr, sind einige Intrusion-Detection- und Intrusion-Prevention-Systeme für darin eingebetteten Schadcode blind.
Die Schwachstelle haben türkische Forscher von GamaSEC bereits vor etwa drei Wochen entdeckt, jetzt haben das US-CERT und Cisco jedoch eigene Sicherheitsmeldungen dazu veröffentlicht. Das US-CERT pflegt eine längere Liste mit Herstellern von IDS/IPS-Systemen, von denen bislang lediglich Apple und HP als nicht verwundbar eingestuft sind. Cisco hat sein Intrusion-Prevention-System sowie IOS mit Firewall-/IPS-Funktionen als verwundbar gemeldet; Software-Updates oder temporäre Gegenmaßnahmen stellt das Unternehmen aber noch nicht bereit.
In Kürze dürften zahlreiche IDS-/IPS-Hersteller Software-Updates bereitstellen, wenn sie ihre Geräte überprüfen und die möglicherweise darin vorhandene Schwachstelle entdecken. Administratoren betroffener Systeme sollten diese dann schnellstmöglich einspielen, um die Netzwerksicherheit nicht unnötig zu gefährden.
Siehe dazu auch:
- Full-Width and Half-Width Unicode Encoding IDS/IPS/WAF Bypass Vulnerability, Sicherheitsmeldung von GamaSEC
- HTTP content scanning systems full-width/half-width Unicode encoding bypass, Fehlermeldung vom US-CERT
- HTTP Full-Width and Half-Width Unicode Encoding Evasion, Sicherheitsmeldung von Cisco
(dmk)