Denegación de servicio en cortafuegos ModSecurity 2.x

Younes Jaaidi ha reportado un error en ModSecurity que podría ser aprovechado para causar una denegación de servicio de forma remota con solo enviar una petición HTTP especialmente manipulada.

ModSecurity es un cortafuegos de aplicaciones web (Web Application Firewall o WAF) de código abierto, multiplataforma, desarrollado por Trustwave’s SpiderLabs y disponible para Apache, IIS y Nginx. ModSecurity, a diferencia de los sistemas de prevención y detección de intrusiones que se basan en firmas específicas para vulnerabilidades conocidas, hace uso de reglas que proporcionan una protección genérica contra vulnerabilidades aún desconocidas de aplicaciones web, monitorizando y bloqueando el uso de técnicas habituales para su explotación. Además permite monitorizar y analizar en tiempo real el tráfico HTTP y los registros (logs).

La vulnerabilidad se debe a un fallo cuando se utiliza un “Content-Type” desconocido (unknown) y se activa la acción “forceRequestBodyVariable” que podría causar una desreferencia a puntero nulo en msr->msc_reqbody_chunks->elts however msr->msc_reqbody_chunk.

Un atacante remoto podría aprovechar este error y, a través de una petición HTTP especialmente manipulada, conseguir que la aplicación dejase de funcionar.

La vulnerabilidad ha sido registrada como CVE-2013-2765 y afecta a las versiones de ModSecurity 2.7.3 y anteriores. Trustwave’s SpiderLabs ha publicado ModSecurity 2.7.4 que soluciona este fallo de seguridad.

 Fuente