Компания Rainbow Security, российский эксперт в области информационной безопасности, сообщила о том, что эксперты из исследовательской группы компании Sourcefire (Vulnerability Research Team, VRT) выпустили новое правило для решений Sourcefire, позволяющее легче обнаружить эксплоит Apache Killer, который использует уязвимость в веб-сервере Apachе для проведения сетевых атак.
Так, используя большие неправильно сформированные HTTP-заголовки, эксплоит Apache Killer позволяет злоумышленнику с помощью всего лишь одного компьютера организовать атаку типа «отказ в обслуживании» (Denial of Service — DoS). Решения Sourcefire IPS и open-source-система Snort, обеспечивающие защиту от угроз в реальном времени, изначально обладали возможностью блокирования больших HTTP-заголовков, что им позволило эффективно бороться с эксплоитом Apache Killer. В частности, атаки данного вида могут быть легко обнаружены с помощью специального препроцессора системы Snort, который позволяет сканировать HTTP-трафик и блокировать HTTP-заголовки увеличенного размера, используемые для организации многих сетевых атак, говорится в сообщении Rainbow Security.
Для обеспечения дополнительного уровня безопасности эксперты VRT выпустили новое правило — GID 1, 19825 SID. С его помощью происходит сканирование трафика и выявление неправильно сформированных HTTP–заголовков, что позволяет обнаружить и блокировать действие Apache Killer. Таким образом, решения Sourcefire могут не только предоставлять информацию о потенциально слабо защищенных местах сети, но и блокировать новые виды угроз, что обеспечивает максимальный уровень безопасности, утверждают в Rainbow Security.
«Выпуск нового правила для обнаружения и блокирования действий эксплоита Apache Killer является отличным примером использования механизмов глубокого анализа пакетов данных, которые входят в систему Snort, — заявил Мэтт Вачински (Matt Watchinski), вице-президент Sourcefire по исследованию и обнаружению уязвимостей. — Предоставляя возможность выявлять аномальный сетевой трафик на общем уровне, система Snort обеспечивает обнаружение множества новых видов сетевых угроз. Такая степень гибкости предоставляет системным администраторам возможность заблаговременно блокировать новые виды угроз даже в том случае, когда еще не выпущены специализированные обновления, исправляющие найденные уязвимости».
Источник: CNews
|