Появились подробности о исправленной уязвимости безопасности в системе обнаружения и предотвращения вторжений Snort, которая может вызвать состояние отказа в обслуживании (DoS) и сделать его бессильным против вредоносного трафика.
Отслеживаемая как CVE-2022-20685, уязвимость имеет рейтинг серьезности 7,5 и находится в препроцессоре Modbus механизма обнаружения Snort. Это влияет на все выпуски проекта Snort с открытым исходным кодом, выпущенные ранее 2.9.19, а также версию 3.1.11.0.
Поддерживаемая Cisco, Snort-это система обнаружения вторжений с открытым исходным кодом (IDS) и система предотвращения вторжений (IPS), которая предлагает анализ сетевого трафика в реальном времени для выявления потенциальных признаков вредоносной активности на основе предопределенных правил.
"Уязвимость CVE-2022-20685-это проблема с переполнением целых чисел, которая может привести к тому, что препроцессор Snort Modbus OT войдет в бесконечный цикл while", - сказал Ури Кац, исследователь безопасности Claroty, в отчете, опубликованном на прошлой неделе. "Успешный эксплойт не позволяет Snort обрабатывать новые пакеты и генерировать оповещения".
В частности, недостаток связан с тем, как Snort обрабатывает пакеты Modbus — промышленный протокол передачи данных, используемый в сетях диспетчерского управления и сбора данных (SCADA), что приводит к сценарию, когда злоумышленник может отправить специально созданный пакет на пораженное устройство.
"Успешный эксплойт может позволить злоумышленнику заставить процесс Snort зависнуть, что приведет к остановке проверки трафика", - отметила Cisco в рекомендации, опубликованной ранее в январе этого года, посвященной недостатку.
Другими словами, использование проблемы может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, создать условие отказа в обслуживании (DoS) на затронутых устройствах, эффективно препятствуя способности Snort обнаруживать атаки и позволяя запускать вредоносные пакеты в сети.
"Успешные эксплойты уязвимостей в инструментах сетевого анализа, таких как Snort, могут иметь разрушительные последствия для корпоративных и ОТ-сетей", - сказал Кац.
"Инструменты сетевого анализа являются недостаточно изученной областью, которая заслуживает большего анализа и внимания, тем более что сети OT все чаще централизованно управляются ИТ-сетевыми аналитиками, знакомыми с Snort и другими подобными инструментами".