研究人员详述了可能使Snort入侵检测系统瘫痪的漏洞

有关Snort入侵检测和预防系统中现已修补的安全漏洞的详细信息已经浮出水面，该漏洞可能引发拒绝服务（DoS）情况，并使其无法抵御恶意流量。

跟踪为CVE-2022-20685，该漏洞的严重性等级为7.5，位于Snort检测引擎的Modbus预处理器中。它影响所有早于2.9.19和3.1.11.0版本的开源Snort项目版本。

Snort由Cisco维护，是一个开源的入侵检测系统（IDS）和入侵预防系统（IPS），提供实时网络流量分析，根据预定义的规则发现恶意活动的潜在迹象。

Claroty的安全研究员Uri Katz在上周发布的一份报告中表示：“该漏洞CVE-2022-20685是一个整数溢出问题，可导致Snort Modbus OT预处理器进入无限while循环”。“成功利用此漏洞可阻止Snort处理新数据包和生成警报”。

具体而言，缺点与Snort如何处理Modbus数据包有关—；用于监控和数据采集（SCADA）网络的工业数据通信协议，导致攻击者可以向受影响的设备发送巧尽心思构建的数据包的情况。

Cisco在今年1月早些时候发布的一份针对该漏洞的公告中指出：“成功利用该漏洞可使攻击者导致Snort进程挂起，从而导致流量检查停止”。

换言之，利用此问题可能会允许未经身份验证的远程攻击者在受影响的设备上创建拒绝服务（DoS）条件，从而有效阻止Snort检测攻击的能力，并使其能够在网络上运行恶意数据包。

卡茨说：“成功利用Snort等网络分析工具中的漏洞可能会对企业和OT网络造成毁灭性影响”。

“网络分析工具是一个研究不足的领域，值得更多的分析和关注，尤其是当OT网络越来越多地由熟悉Snort和其他类似工具的IT网络分析师集中管理时”。