Los investigadores detallan un error que podría paralizar el sistema de detección de intrusos de Snort

Han surgido detalles sobre una vulnerabilidad de seguridad ahora parcheada en el sistema de prevención y detección de intrusos de Snort que podría desencadenar una condición de denegación de servicio (DoS) y dejarlo impotente contra el tráfico malicioso.

Rastreada como CVE-2022-20685 , la vulnerabilidad tiene una clasificación de gravedad de 7,5 y reside en el preprocesador Modbus del motor de detección de Snort. Afecta a todas las versiones del proyecto Snort de código abierto anteriores a la 2.9.19, así como a la versión 3.1.11.0.

Mantenido por Cisco, Snort es un sistema de detección de intrusiones (IDS) y un sistema de prevención de intrusiones (IPS) de código abierto que ofrece análisis de tráfico de red en tiempo real para detectar posibles signos de actividad maliciosa según reglas predefinidas.

"La vulnerabilidad, CVE-2022-20685, es un problema de desbordamiento de enteros que puede hacer que el preprocesador Snort Modbus OT ingrese en un ciclo while infinito ", dijo Uri Katz, investigador de seguridad de Claroty, en un informe publicado la semana pasada. "Un exploit exitoso evita que Snort procese nuevos paquetes y genere alertas".

Específicamente, la deficiencia se relaciona con la forma en que Snort procesa los paquetes Modbus , un protocolo de comunicaciones de datos industriales utilizado en las redes de control de supervisión y adquisición de datos (SCADA), lo que lleva a un escenario en el que un atacante puede enviar un paquete especialmente diseñado a un dispositivo afectado.

"Una explotación exitosa podría permitir que el atacante provoque que el proceso de Snort se cuelgue, provocando que se detenga la inspección del tráfico", señaló Cisco en un aviso publicado a principios de enero que aborda la falla.

1_DDu5P2e2y84UT22P5SVFIw

En otras palabras, la explotación del problema podría permitir que un atacante remoto no autenticado cree una condición de denegación de servicio (DoS) en los dispositivos afectados, lo que dificulta la capacidad de Snort para detectar ataques y hace posible ejecutar paquetes maliciosos en la red.

"Las explotaciones exitosas de vulnerabilidades en herramientas de análisis de red como Snort pueden tener impactos devastadores en las redes empresariales y OT", dijo Katz.

"Las herramientas de análisis de red son un área poco investigada que merece más análisis y atención, especialmente porque las redes OT están cada vez más gestionadas de forma centralizada por analistas de redes de TI familiarizados con Snort y otras herramientas similares".

Fuente: Thehackernews.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies