Des détails sont apparus sur une vulnérabilité de sécurité désormais corrigée dans le système de détection et de prévention des intrusions Snort qui pourrait déclencher une condition de déni de service (DoS) et le rendre impuissant face au trafic malveillant.
Suivie sous le nom de CVE-2022-20685, la vulnérabilité est classée 7,5 pour la gravité et réside dans le préprocesseur Modbus du moteur de détection Snort. Cela affecte toutes les versions de projet Snort open source antérieures à la version 2.9.19 ainsi que la version 3.1.11.0.
Géré par Cisco, Snort est un système de détection d’intrusion (IDS) et un système de prévention d’intrusion (IPS) open source qui offre une analyse du trafic réseau en temps réel pour détecter les signes potentiels d’activité malveillante en fonction de règles prédéfinies.
« La vulnérabilité, CVE-2022-20685, est un problème de débordement d’entier qui peut amener le préprocesseur Snort Modbus OT à entrer dans une boucle while infinie », a déclaré Uri Katz, chercheur en sécurité chez Claroty, dans un rapport publié la semaine dernière. « Un exploit réussi empêche Snort de traiter de nouveaux paquets et de générer des alertes. »
Plus précisément, la lacune concerne la manière dont Snort traite les paquets Modbus – un protocole de communication de données industriel utilisé dans les réseaux de contrôle de supervision et d’acquisition de données (SCADA) – conduisant à un scénario dans lequel un attaquant peut envoyer un paquet spécialement conçu à un appareil affecté.
« Un exploit réussi pourrait permettre à l’attaquant de provoquer le blocage du processus Snort, provoquant l’arrêt de l’inspection du trafic », a noté Cisco dans un avis publié plus tôt en janvier concernant la faille.
En d’autres termes, l’exploitation du problème pourrait permettre à un attaquant distant non authentifié de créer une condition de déni de service (DoS) sur les appareils concernés, entravant ainsi la capacité de Snort à détecter les attaques et à permettre l’exécution de paquets malveillants sur le réseau.
« Les exploits réussis des vulnérabilités dans les outils d’analyse de réseau tels que Snort peuvent avoir des effets dévastateurs sur les réseaux d’entreprise et OT », a déclaré Katz.
« Les outils d’analyse de réseau sont un domaine sous-étudié qui mérite plus d’analyse et d’attention, d’autant plus que les réseaux OT sont de plus en plus gérés de manière centralisée par une analyse de réseau informatique familière avec Snort et d’autres outils similaires. »