Es sind Details über eine inzwischen gepatchte Sicherheitslücke im Snort Intrusion Detection and Prevention System aufgetaucht, die einen Denial-of-Service (DoS)-Zustand auslösen und das System gegen bösartigen Datenverkehr machtlos machen könnte.

Die Schwachstelle mit der Bezeichnung CVE-2022-20685 hat den Schweregrad 7.5 und befindet sich im Modbus-Präprozessor des Snort-Erkennungssystems. Sie betrifft alle Versionen des Open-Source-Projekts Snort, die älter als 2.9.19 sind, sowie die Version 3.1.11.0.

Snort wird von Cisco betreut und ist ein Open-Source Intrusion Detection System (IDS) und Intrusion Prevention System (IPS), das den Netzwerkverkehr in Echtzeit analysiert, um potenzielle Anzeichen bösartiger Aktivitäten anhand vordefinierter Regeln zu erkennen.

„Bei der Schwachstelle CVE-2022-20685 handelt es sich um einen Integer-Überlauf, der dazu führen kann, dass der Snort Modbus OT-Präprozessor in eine unendliche while-Schleife gerät“, so Uri Katz, Sicherheitsforscher bei Claroty, in einem letzte Woche veröffentlichten Bericht. „Ein erfolgreicher Exploit hält Snort davon ab, neue Pakete zu verarbeiten und Alarme zu generieren.“

Konkret betrifft die Schwachstelle die Art und Weise, wie Snort Modbus-Pakete verarbeitet – ein industrielles Datenkommunikationsprotokoll, das in SCADA-Netzwerken (Supervisory Control and Data Acquisition) verwendet wird – was zu einem Szenario führt, in dem ein Angreifer ein speziell präpariertes Paket an ein betroffenes Gerät senden kann.

„Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, den Snort-Prozess zum Hängen zu bringen, so dass die Überprüfung des Datenverkehrs gestoppt wird“, so Cisco in einem Advisory, das Anfang Januar veröffentlicht wurde und die Schwachstelle behandelt.

Mit anderen Worten: Ein nicht authentifizierter, entfernter Angreifer könnte einen Denial-of-Service (DoS)-Zustand auf den betroffenen Geräten herbeiführen, wodurch Snort nicht mehr in der Lage wäre, Angriffe zu erkennen und bösartige Pakete im Netzwerk zu übertragen.

„Die erfolgreiche Ausnutzung von Schwachstellen in Netzwerkanalysetools wie Snort kann verheerende Auswirkungen auf Unternehmens- und OT-Netzwerke haben“, so Katz.

„Netzwerkanalysetools sind ein wenig erforschter Bereich, der mehr Analyse und Aufmerksamkeit verdient, vor allem da OT-Netzwerke zunehmend von IT-Netzwerkanalysten zentral verwaltet werden, die mit Snort und anderen ähnlichen Tools vertraut sind.“