Snort Kusuru, Saldırganın DoS Koşulunu Tetiklemesine Ve Kötü Amaçlı Trafiği Geçirmesine İzin Verdi
Snort adlı bir saldırı tespit sisteminin, Team82'deki siber güvenlik analistleri tarafından bildirilen bir güvenlik açığına sahip olduğu tespit edildi. Ve bu, bir hizmet reddi (DoS) koşulunun ortaya çıkmasını tetikleyebilir ve sistemi etkisiz hale getirebilir.
Bu güvenlik açığı CVE Kimliği, "CVE-2022-20685" ile atandı ve 7,5 önem puanı elde etmeyi başardı. Snort algılama altyapısının Modbus önişlemcisinde iken bu güvenlik açığı belirlenmiştir.
Ek olarak, sürümden daha eski olan tüm Snort açık kaynaklı proje sürümlerini etkileyen bir gerileme vardı:
- 2.9.19
- 3.1.11.0
Güvenlik endüstrisinde, Snort, Cisco tarafından sürdürülen popüler bir açık kaynaklı saldırı tespit sistemi (IDS) ve izinsiz giriş önleme sistemidir (IPS).
Önceden tanımlanmış kurallara dayanarak, Snort, ağ trafiği analizine dayanarak gerçek zamanlı kötü amaçlı etkinlik belirtilerini tespit edebilir.
Snort Kuralları Üç Eylemden Birini Tetikleyebilir
Aşağıda Snort kuralları tarafından tetiklenebilecek tüm eylemlerden bahsettik:
- Uyarı kuralları: Uyarı oluşturma
- Günlük kuralları: Uyarı verin ve uyarıyı günlüğe kaydetme
- Geçiş kuralları: Paketi yoksayma
Snort'un kural yazma işlevselliğinin bir parçası olarak, kural yazmayı kolaylaştıran ve algılama yeteneklerini geliştiren bir dizi ön işlemci vardır.
Snort'un ön işlemcileri varsayılan olarak açık bırakılır, bu durumda ağ trafiğinin analiz edilmesine ve daha sonra Snort kurallarında belirtilebilecek nesneler halinde yapılandırılmasına izin verilir.
Burada aşağıda tanınmış Snort ön işlemcilerinden bazılarından bahsettik:
- Arp
- Dns
- Ssh
- MODBUS/DNP3 gibi bazı OT (operasyonel teknoloji) protokolleri
CVE-2022-20685 Güvenlik Açığı
İşte Claroty ile bir güvenlik araştırmacısı olan Uri Katz'ın söyledikleri:
"CVE-2022-20685 güvenlik açığı, Snort Modbus OT önişlemcisinin sonsuz bir süre döngüsüne girmesine neden olabilen bir tamsayı taşması sorunudur. Başarılı bir istismar, Snort'un yeni paketleri işlemesini ve uyarılar oluşturmasını engelliyor."
Snort'un Modbus paketleriyle yaptığı şey nedeniyle, saldırganın özel hazırlanmış bir Modbus paketinin etkilenen bir sisteme iletilmesini kolaylaştırabileceği bir durum vardır.
Uzak bir saldırgan, kimliği doğrulanmadan güvenlik açığından yararlanılması sonucunda etkilenen aygıtlarda bir hizmet reddi (DoS) koşulu oluşturmak üzere bu sorundan yararlanabilir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News