Vulnerabilidad alta detectada en motor de detección Snort

---

21/04/2022

Se ha detectado una vulnerabilidad de desbordamiento de enteros en Snort, que permitiría a un atacante bloquear el proceso haciendo que el tráfico se detenga, provocando así una denegación de servicio (DoS).

La vulnerabilidad identificada como CVE-2022-20685 de severidad alta, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a un desbordamiento de enteros durante el procesamiento del tráfico Modbus. Un atacante podría aprovechar esta vulnerabilidad enviando tráfico Modbus especialmente diseñado a través de un dispositivo afectado, consiguiendo así que el proceso de Snort se bloquee, la inspección de tráfico se detenga y provocando así una denegación de servicio (DoS).

Los productos afectados de Snort son:

• Versiones anteriores a 2.9.19.

• Versiones anteriores a 3.1.11.0.

Adicionalmente los productos afectados de Cisco, si es que estos se encuentran ejecutando una versión vulnerable del software serían:

• Cyber Vision Software
• FirePOWER Services Software - Todas las plataformas
• Firepower Threat Defense (FTD) Software - Todas las plataformas
• Software de la serie Meraki MX
• Catalyst 9800 Series Wireless Controllers
• Catalyst 9800 Wireless Controller para Cloud
• Embedded Wireless Controller en Catalyst Access Points

Recomendamos, instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:

• https://www.snort.org/downloads

‎Adicionalmente, recomendamos seguir los siguientes pasos para mitigar el riesgo asociado:

• Deshabilitar el preprocesador Modbus para mitigar el vector de ataque de esta vulnerabilidad.
• Deshabilitar el preprocesador The Network Analysis Policy (NAP) para un dispositivo que ejecuta Snort 2, consultando “Configuración del preprocesador en una nota de directiva de análisis de red”.
• Deshabilitar un inspector The Network Analysis Policy (NAP) para un dispositivo que ejecuta Snort 3, consultando “Creación de directivas de análisis de red personalizado para Snort 3”.
• Para un dispositivo Firepower Threat Defense (FTD) administrado por Firepower Device Manager (FDM), el dispositivo debe ejecutar Snort 3, consultando “Configurar la directiva de análisis de red (Snort 3)”.

Finalmente, contactar al soporte del fabricante en el siguiente enlace:

• https://www.cisco.com/c/en/us/support/index.html

Referencias:

• https://thehackernews.com/2022/04/researchers-detail-bug-that-could.html
• https://www.cisco.com/c/en/us/support/index.html
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snort-dos-9D3hJLuj
• https://www.snort.org/downloads
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20685