开源的 Snort 入侵检测系统中存在高危漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该漏洞的CVSS 评分为 7.5，位于 Snort 检测引擎的 Modbus 预处理器中，影响所有早于 2.9.19 之前的以及 3.1.11.0 版本的开源 Snort 项目。Snort 是一个开源的入侵检测系统和入侵防御系统，由思科维护，可提供实时网络流量分析，查找基于预定义规则的潜在恶意活动迹象。

Claroty 公司的安全研究员 Uri Katz 上周发布报告称，“漏洞CVE-2022-20685 是一个整数溢出漏洞，可导致 Snort Modbus OT 预处理器进入while无限循环。成功利用可阻止 Snort 处理新的数据包并生成警报信息。”

具体而言，该缺陷和 Snort处理 Modbus 数据包的方式有关，它可导致攻击者将特殊构造的数据包发送至受影响设备。Modbus 数据包是用于SCADA 网络中的工业数据通信协议。

思科在1月份早些时候发布安全公告指出，“成功的exploit 可导致攻击者使 Snort 进程挂起，导致流量检测停止。”换句话说，利用该漏洞可导致未认证的远程攻击者在受影响设备上创建拒绝服务条件，从而阻止 Snort 检测攻击并使其在网络上运行恶意数据包。

Katz 指出，“在网络分析工具如 Snort 中成功利用这些漏洞可对企业和OT网络造成灾难性影响。网络分析工具是研究不充分的领域，值得更多分析和关注，尤其是在OT网络越来越多地由熟悉 Snort 和其它类似工具的IT网络分析师统一管理的情况下。”