[FUG-BR] Apache vulnerável

Lucas Dias lucasmcz em gmail.com
Quarta Agosto 31 01:00:36 BRT 2011


Em 31 de agosto de 2011 00:03, Leonardo Rota Botelho <
leonardobotelho em gmail.com> escreveu:

> É na aplicação mesmo..
>
> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192
> http://www.exploit-db.com/exploits/17696/
>
> Creio que não saiu nada gondim.. http://www.freshports.org/www/apache22/
> Mas vou dar uma olhada com mais calma.
>
> O que podes fazer para bloquear algum possível ataque é usar o
> mod_security.
>
> http://blog.spiderlabs.com/2011/08/mitigation-of-apache-range-header-dos-attack.html
>
> Abs!
>
> 2011/8/30 Cleyton Agapito <cragapito em gmail.com>:
> > Em 30 de agosto de 2011 19:59, Lucas Dias <lucasmcz em gmail.com> escreveu:
> >> Em 30 de agosto de 2011 19:40, Paulo Henrique - BSDs Brasil <
> >> paulo.rddck em bsd.com.br> escreveu:
> >>
> >>> gondim em bsdinfo.com.br wrote:
> >>> > Pessoal,
> >>> >
> >>> > Provavelmente muitos já viram que o apache está vulnerável à DoS.
> Ainda
> >>> > não saiu nenhuma atualização no ports para resolver esse problema.
> >>> > Costuma demorar pra sair um patch desse nível ou já já sai?
> >>> > -------------------------
> >>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>> >
> >>> Gondim, no caso DoS não tem muita coisa a ser feita a não ser que você
> >>> tenha mais banda que o atacante ou possua varios contratos de conexão
> >>> com restrição desse tipo de ataque direto na borda da Operadora.
> >>> A correção para isso se chama vontade, vontade das Operadoras
> >>> desempenhar seus serviços dentro da conformidade de segurança.
> >>>
> >>> Att.
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >> Concordo. DoS é tenso. Mesmo vc mitigando , ou tentando mitigar com
> várias
> >> técnicas, é complicado. Se o atacante tiver com uma botnet a disposição
> pra
> >> fazer o mal, complica mais ainda.
> >> E essa vontade das Operadoras vai demorar pacas. e bote pacas nisso =)
> >>
> >
> > Se entendi direito, no caso de um software ser vulnerável a DoS quer
> > dizer que um único atacante, através de um acesso malicioso  conseguir
> > "tirar o sistema do ar", deixá-lo indisponível, irresponsível, isso é
> > grave e deve ser corrigido...
> >
> > O caso descrito pelos dois colegas é de sobrecarga do enlace, tipo um
> > DoS no enlace, não no sistema, nesse caso realmente é complicado
> > porque depende de vc ter os contatos para interromper a avalanche em
> > algum ponto antes de você, fora de seu domínio, o que creio não ser o
> > caso.
> >
> > []´s
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> Leonardo Rota Botelho
> OSCP / GPEN
> http://twitter.com/b0telh0
> http://leonardobotelho.com/blog/
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Como tinha dito antes, você poderá usar tudo para mitigar a situação do DoS,
mesmo se for pra inflar seu link, ou se for atacando o velho índio.
Mod_Security é uma solução no auxilio a mitigar isso. Usar um HIDS e um IDS
também ajudará, visto que você poderá tratar com thresholds para um número X
qualquer de requisições de um mesmo lugar, em um curto espaço de tempo,
jogar o cara para uma table do ipfw e blockar o "atacante" por um
determinado tempo, ou para sempre e por aí vai...

Sei que tem que se ter cuidado para não pirar o cabeção, porque isso é um
buraco sem fim.
Qualquer coisa, entra em contato com a Operadora e pede aquela ajuda =)

Chato, porém quando só se tem um Link de 2Mbps e o muleque em casa tá com 30
da GVT, acaba sendo até sacagem =)

Acredito que sairá alguma correção para o problema citado em breve.

DDoS já é outra mazela =(

-- 
.:: Lucas Dias
.:: Analista de Sistemas
.:: OS3 Soluções em TI
.:: VectraCS - NOC Infovia Alagoas
.:: (82) 8813-1494 / 8111-2288 / 9999-2453
.:: Antes de imprimir, veja se realmente é necessário!!!


Mais detalhes sobre a lista de discussão freebsd