Snort è affetto da una vulnerabilità DoS che può renderlo inutilizzabile

Uri Katz di Claroty ha pubblicato i dettagli di una vulnerabilità ora corretta nel sistema di rilevamento e prevenzione delle intrusioni di Snort che potrebbe causare un DoS (Denial of Service) e rendere il sistema inutilizzabile per rilevare il traffico dannoso.

La vulnerabilità CVE-2022-20685 è stata valutata 7,5 su 10 sulla scala di valutazione CVSSv3. Il problema è presente nel preprocessore Modbus del discovery engine Snort e interessa tutte le release del sistema fino alla versione 2.9.19, oltre alla versione 3.1.11.0.

Il sistema di rilevamento delle intrusioni (IDS) e il sistema di prevenzione delle intrusioni (IPS) Snort open source di Cisco analizza il traffico di rete in tempo reale alla ricerca di segnali di possibili attività dannose in base a delle regole predefinite.

La CVE-2022-20685 è una vulnerabilità di integer-overflow. 

Con tale vulnerabilità, un utente malintenzionato può far sì che Snort interrompa l’elaborazione di nuovi pacchetti e l’invio di notifiche di sicurezza.

Il problema riguarda il modo in cui Snort gestisce i pacchetti Modbus (un protocollo di comunicazione industriale utilizzato nelle reti SCADA). Un utente malintenzionato potrebbe inviare un pacchetto appositamente configurato a un dispositivo vulnerabile e causare il blocco dei processi di Snort.

“Il successo dello sfruttamento delle vulnerabilità negli strumenti di analisi di rete come Snort può avere un impatto devastante sulle reti aziendali e OT. Gli strumenti di analisi della rete sono un’area poco studiata che dovrebbe essere analizzata meglio e dovrebbe essere oggetto di maggiore attenzione, soprattutto perché le reti OT sono gestite centralmente da analisti di reti IT che hanno familiarità con Snort e altri strumenti simili”

ha affermato Katz.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.