25/04/22
Специалист ИБ-компании Claroty Ури Катц (Uri Katz) опубликовал подробности о теперь уже исправленной уязвимости в системе обнаружения и предотвращения вторжений Snort, позволяющей вызывать отказ в обслуживании (DoS) и делать систему бесполезной для отражения вредоносного трафика.
Уязвимость CVE-2022-20685 получила 7,5 балла из 10 по шкале оценивания опасности. Проблема присутствует в препроцессоре Modbus движка обнаружения Snort и затрагивает все релизы системы до версии 2.9.19, а также версию 3.1.11.0.
Поддерживаемая компанией Cisco система обнаружения (IDS) и предотвращения вторжений (IPS) с открытым исходным кодом Snort анализирует сетевой трафик в режиме реального времени в поисках признаков возможной вредоносной активности на основе заранее заданных правил.
CVE-2022-20685 представляет собой уязвимость целочисленного переполнения (integer-overflow). С ее помощью злоумышленник может сделать так, чтобы Snort перестала обрабатывать новые пакеты и генерировать уведомления безопасности.
Проблема связана с тем, как Snort обрабатывает пакеты Modbus (промышленный протокол передачи данных, использующийся в SCADA-сетях). Злоумышленник может отправить уязвимому устройству особым образом сконфигурированный пакет и вызвать «зависание» процессов Snort.
«Успешная эксплуатация уязвимостей в инструментах для анализа сетей наподобие Snort может разрушительно воздействовать на корпоративные и OT-сети. Инструменты для анализа сетей представляют собой недостаточно исследуемую область, которую следует лучше анализировать и которой нужно уделять больше внимания, в особенности потому, что OT-сети централизовано управляются аналитиками IT-сетей, знакомыми с Snort и другими подобными инструментами», - сообщил Катц.
