Des détails sont apparus sur une vulnérabilité de sécurité désormais corrigée dans le système de détection et de prévention des intrusions Snort qui pourrait déclencher une condition de déni de service (DoS) et le rendre impuissant face au trafic malveillant.
Suivi comme CVE-2022-20685, la vulnérabilité est classée 7,5 pour la gravité et réside dans le préprocesseur Modbus du moteur de détection Snort. Cela affecte toutes les versions de projet Snort open source antérieures à la version 2.9.19 ainsi que la version 3.1.11.0.
Géré par Cisco, Renifler est un système de détection d’intrusion (IDS) et un système de prévention d’intrusion (IPS) open source qui offre une analyse du trafic réseau en temps réel pour détecter les signes potentiels d’activité malveillante en fonction de règles prédéfinies.
« La vulnérabilité, CVE-2022-20685, est un problème de débordement d’entier qui peut amener le préprocesseur Snort Modbus OT à entrer dans un nombre infini boucle while« , Uri Katz, chercheur en sécurité chez Claroty, mentionné dans un rapport publié la semaine dernière. « Un exploit réussi empêche Snort de traiter de nouveaux paquets et de générer des alertes. »
Plus précisément, la lacune concerne la manière dont Snort traite Modbus paquets — un industriel protocole de communication de données utilisé dans les réseaux de contrôle de supervision et d’acquisition de données (SCADA) – conduisant à un scénario dans lequel un attaquant peut envoyer un paquet spécialement conçu à un appareil affecté.
« Un exploit réussi pourrait permettre à l’attaquant de provoquer le blocage du processus Snort, provoquant l’arrêt de l’inspection du trafic », a déclaré Cisco. c’est noté dans un avis publié plus tôt en janvier traitant de la faille.
En d’autres termes, l’exploitation du problème pourrait permettre à un attaquant distant non authentifié de créer une condition de déni de service (DoS) sur les appareils concernés, entravant ainsi la capacité de Snort à détecter les attaques et permettant d’exécuter des paquets malveillants sur le réseau.
« Les exploits réussis des vulnérabilités dans les outils d’analyse de réseau tels que Snort peuvent avoir des effets dévastateurs sur les réseaux d’entreprise et OT », a déclaré Katz.
« Les outils d’analyse de réseau sont un domaine sous-étudié qui mérite plus d’analyse et d’attention, d’autant plus que les réseaux OT sont de plus en plus gérés de manière centralisée par des analystes de réseaux informatiques familiarisés avec Snort et d’autres outils similaires. »
