Han surgido detalles sobre una vulnerabilidad de seguridad ahora parcheada en el sistema de prevención y detección de intrusos de Snort que podría desencadenar una condición de denegación de servicio (DoS) y dejarlo impotente contra el tráfico malicioso.
rastreado como CVE-2022-20685, la vulnerabilidad tiene una clasificación de gravedad de 7,5 y reside en el preprocesador Modbus del motor de detección de Snort. Afecta a todas las versiones del proyecto Snort de código abierto anteriores a la 2.9.19, así como a la versión 3.1.11.0.
Mantenido por Cisco, Bufido es un sistema de detección de intrusiones (IDS) y un sistema de prevención de intrusiones (IPS) de código abierto que ofrece análisis de tráfico de red en tiempo real para detectar posibles signos de actividad maliciosa según reglas predefinidas.
“La vulnerabilidad, CVE-2022-20685, es un problema de desbordamiento de enteros que puede hacer que el preprocesador Snort Modbus OT entre en un número infinito mientras bucle“, Uri Katz, investigador de seguridad de Claroty, dicho en un informe publicado la semana pasada. “Un exploit exitoso evita que Snort procese nuevos paquetes y genere alertas”.
Específicamente, la deficiencia se relaciona con la forma en que Snort procesa modbus paquetes — una industria protocolo de comunicaciones de datos utilizado en redes de control de supervisión y adquisición de datos (SCADA), lo que lleva a un escenario en el que un atacante puede enviar un paquete especialmente diseñado a un dispositivo afectado.
“Una explotación exitosa podría permitir que el atacante provoque que el proceso de Snort se cuelgue, provocando que se detenga la inspección del tráfico”, Cisco anotado en un aviso publicado a principios de enero que aborda la falla.
En otras palabras, la explotación del problema podría permitir que un atacante remoto no autenticado cree una condición de denegación de servicio (DoS) en los dispositivos afectados, obstaculizando efectivamente la capacidad de Snort para detectar ataques y haciendo posible ejecutar paquetes maliciosos en la red.
“Las explotaciones exitosas de vulnerabilidades en herramientas de análisis de red como Snort pueden tener impactos devastadores en las redes empresariales y OT”, dijo Katz.
“Las herramientas de análisis de red son un área poco investigada que merece más análisis y atención, especialmente porque las redes OT están cada vez más gestionadas de forma centralizada por analistas de redes de TI familiarizados con Snort y otras herramientas similares”.
About the Author
