telnetd encrypt keyid buffer overflow

2011년 12월 26일 exploit-db에 telnet 관련 취약점 exploit이 발표되었다. 이 exploit은 FreeBSD에서 커버러스와 연동된 telnet 서버에 대한 버퍼 오버플로우 취약점을 공략한다.

다음은 공격 패턴이다.  버퍼오버플로우 시키기 위해 shellcode가 포함된 긴 길이의 keyid를 telnet 서버에 전송한다. payload의 특정 위치까지 \x90으로 패딩된 것을 확인할 수 있다.

해당 exploit을 탐지하기 위한 snort rule은 다음과 같다.

alert tcp any any -> any 23 (msg: ”

telnetd encrypt keyid buffer overflow – exploit-db

“; flow: established, to_server; content:”|ff fa 26 07 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90|”;)

Metasploit에도 telnet_encrypt_overflow란 명으로 exploit이 업데이트 되었다.

해당 exploit의 공격 패턴도 위에서 언급한 exploit과 패턴이 유사하나,  \x90 대신 \x58로 패딩된다. 다음은 공격패턴이다.

해당 exploit을 탐지하기 위한 snort rule은 다음과 같다.

alert tcp any any -> any 23 (msg: ”

telnetd encrypt keyid buffer overflow – Metasploit

“; flow: established, to_server;  content:”|ff fa 26 07 00 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58|”;)

참고(exploit code):

http://www.exploit-db.com/exploits/18280/

http://www.metasploit.com/modules/auxiliary/scanner/telnet/telnet_encrypt_overflow

Advertisements

About this entry