Phát hiện lỗ hổng ảnh hưởng đến khả năng phát hiện xâm nhập của Snort

Một lỗ hổng bảo mật hiện đã được vá trong hệ thống phát hiện và ngăn chặn xâm nhập (IDPS) Snort có thể gây ra sự cố từ chối dịch vụ (DoS) và khiến nó không còn khả năng ngăn chặn các lưu lượng độc hại.

Có định danh là CVE-2022-20685, điểm CVSS: 7,5 (mức cao), lỗ hổng tồn tại trong bộ tiền xử lý Modbus của công cụ Snort, ảnh hưởng đến tất cả các bản phát hành Snort mã nguồn mở trước phiên bản 2.9.19 và 3.1.11.0.

Snort, một IDPS mã nguồn mở được Cisco duy trì, cho phép phân tích lưu lượng mạng theo thời gian thực để phát hiện các dấu hiệu tiềm ẩn của hoạt động độc hại dựa trên các rule (quy tắc) được xác định trước.

Nhà nghiên cứu bảo mật Uri Katz của Claroty cho biết: “CVE-2022-20685 liên quan đến vấn đề tràn số nguyên (integer-overflow), có thể khiến bộ tiền xử lý Snort Modbus OT rơi vào vòng lặp vô hạn”.

Cisco cho biết "khai thác thành công lỗ hổng khiến hệ thống Snort bị treo và việc kiểm tra lưu lượng bị dừng lại".

Nói cách khác, việc khai thác lỗ hổng cho phép kẻ tấn công từ xa, không cần xác thực gây từ chối dịch vụ (DoS) trên các thiết bị bị ảnh hưởng, cản trở khả năng phát hiện các cuộc tấn công của Snort khiến nó có thể bỏ qua các lưu lượng độc hại trên mạng.

Katz cho biết: “Việc khai thác thành công lỗ hổng trong các công cụ phân tích mạng như Snort có thể có tác động nghiêm trọng đến các mạng doanh nghiệp và OT.

"Các công cụ phân tích mạng là một lĩnh vực đáng được nghiên cứu và chú ý hơn, đặc biệt là khi các mạng OT ngày càng được giám sát quản lý bởi các công cụ phân tích mạng phổ biến như Snort hay các công cụ tương tự khác."

Nguồn: thehackernews.com.

các