Er zijn details naar voren gekomen over een nu gepatchte beveiligingskwetsbaarheid in het Snort-inbraakdetectie- en preventiesysteem dat een denial-of-service (DoS)-toestand zou kunnen veroorzaken en het onmachtig zou maken tegen kwaadaardig verkeer.
Bijgehouden als CVE-2022-20685, heeft de kwetsbaarheid een 7,5 voor ernst en bevindt deze zich in de Modbus-preprocessor van de Snort-detectie-engine. Het is van invloed op alle open-source Snort-projectreleases ouder dan 2.9.19 en versie 3.1.11.0.
Onderhouden door Cisco, snuiven is een open-source inbraakdetectiesysteem (IDS) en inbraakpreventiesysteem (IPS) dat realtime netwerkverkeeranalyse biedt om mogelijke tekenen van kwaadwillende activiteit te herkennen op basis van vooraf gedefinieerde regels.
“De kwetsbaarheid, CVE-2022-20685, is een integer-overflow-probleem dat ervoor kan zorgen dat de Snort Modbus OT-preprocessor een oneindige herhalingslus,” Uri Katz, een beveiligingsonderzoeker bij Claroty, zei in een rapport dat vorige week werd gepubliceerd. “Een succesvolle exploit zorgt ervoor dat Snort geen nieuwe pakketten kan verwerken en waarschuwingen kan genereren.”
De tekortkoming heeft met name betrekking op hoe Snort verwerkt Modbus pakketten – een industriële datacommunicatieprotocol gebruikt in netwerken voor toezichtcontrole en data-acquisitie (SCADA), wat leidt tot een scenario waarin een aanvaller een speciaal vervaardigd pakket naar een getroffen apparaat kan sturen.
“Een succesvolle exploit kan ervoor zorgen dat de aanvaller het Snort-proces vastloopt, waardoor de verkeersinspectie stopt”, Cisco dat is genoteerd in een advies dat eerder in januari werd gepubliceerd, waarin de fout wordt aangepakt.
Met andere woorden, misbruik van het probleem kan een niet-geverifieerde, externe aanvaller in staat stellen een denial-of-service (DoS)-conditie te creëren op getroffen apparaten, waardoor Snort effectief wordt belemmerd om aanvallen te detecteren en het mogelijk maakt om kwaadaardige pakketten op het netwerk uit te voeren.
“Succesvolle exploits van kwetsbaarheden in netwerkanalysetools zoals Snort kunnen verwoestende gevolgen hebben voor bedrijfs- en OT-netwerken”, zei Katz.
“Netwerkanalysetools zijn een onderbelicht gebied dat meer analyse en aandacht verdient, vooral omdat OT-netwerken steeds vaker centraal worden beheerd door IT-netwerkanalisten die bekend zijn met Snort en andere vergelijkbare tools.”
