Sourcefire protege clientes contra a ferramenta de ataques “Apache Killer”

São Paulo – Clientes da Sourcefire (Nasdaq: FIRE), criadora do open source Snort® e líder em soluções de segurança, já estão protegidos contra o mais novo tipo de ataque em rede, o “Apache Killer”. O ataque foi descoberto nesta semana pelo Sourcefire Vulnerability Research Team (VRT) – grupo de estudos de vulnerabilidades da empresa –, que já complementou a proteção dos seus clientes com a criação de uma nova regra/assinatura específica que detecta a nova exploração e ajuda os administradores de rede a identificar essa ferramenta de ataques.

O Apache é um servidor de rede que muitos provedores de internet usam, mais comumente em ambientes Linux, embora também existam versões instaladas em ambiente Microsoft Windows. Ao contrário dos ataques mais comuns de DDoS (Distributed Denial of Service) – em que vários computadores realizam ataques simultâneos de negação de serviços -, o “Apache Killer” consegue derrubar o sistema Apache usando somente um computador e com apenas uma única tentativa.

O “Apache Killer” se utiliza de cabeçalhos “mal-formados”, ou seja, que não seguem as especificações do protocolo HTTP. Esse ataque é facilmente detectado pela tecnologia de detecção do Snort, através do pré-processamento de inspeção HTTP, que permite o bloqueio de grandes cabeçalhos HTTP. Uma vez que muitos ataques diferentes contra diversos tipos de servidores WEB têm usado diferentes tipos de cabeçalhos HTTP ao longo dos anos, essa funcionalidade já tem sido disponibilizada pela Sourcefire® para detectar proativamente novas vulnerabilidades, como foi o caso da ferramenta “Apache Killer”.

Além dessa funcionalidade existente na tecnologia de detecção do Snort®, o VRT também criou uma nova regra (GID 1, SID 19825) para o Sourcefire IPS e Snort. Essa regra procura por cabeçalhos HTTP “Range:” quebrados, de modo a identificar e bloquear a exploração pelo Apache Killer, mesmo que a funcionalidade de detecção de cabeçalhos grandes não esteja habilitada.

“Nossa solução para o Apache Killer é um bom exemplo da enorme quantidade de inteligência de protocolo e capacidade de inspeção profunda de pacotes da tecnologia de detecção do Snort”, disse Matt Watchinksi, vice-presidente do Sourcefire Vulnerability Research Team. “Permitindo que os clientes identifiquem anomalias no tráfego da rede em um nível geral, a tecnologia de detecção do Snort fornece detecção à frente da ameaça para uma ampla variedade de explorações. Essa flexibilidade dá a quem defende as redes o tempo que eles precisam para corrigir as vulnerabilidades, bem como a proteção em casos onde uma correção ainda não está disponível, como no caso do Apache Killer”.

O VRT é um grupo de especialistas de ponta no quesito segurança de rede que trabalham contra o relógio para descobrir de forma proativa, avaliar e responder com as últimas tendências em atividades hackers, tentativas de intrusão e vulnerabilidades. Um dos mais renomados profissionais de segurança na indústria, incluindo os autores de vários livros de padrão de referência em segurança, são membros do Sourcefire VRT. Essa equipe também é apoiada por vastos recursos da comunidade open source Snort, tornando-se o maior grupo dedicado a pesquisas de vulnerabilidade e avanços na indústria de segurança de rede.

A Sourcefire, Inc. (Nasdaq: FIRE), é líder mundial em soluções inteligentes de cybersecurity e está transformando o modo como as agências governamentais e organizações globais gerenciam e minimizam riscos de segurança da rede. O IPS (Intrusion Prevention System), RNA® (Real-time Network Awareness) e soluções de segurança adaptativa em tempo real da Sourcefire equipam os clientes com uma defesa eficiente e eficaz de segurança em camadas – protege os ativos de rede antes, durante e depois de um ataque. Com o passar dos anos, a Sourcefire tem sido constantemente reconhecida por sua inovação e liderança pela indústria, clientes, mídia e analistas de mercado – com mais de 50 prêmios e distinções. Hoje, o nome da Sourcefire cresceu e é sinônimo de inovação e inteligência de segurança da rede. [www.sourcefire.com].