Công cụ phân tích lưu lượng mạng là một thành phần vô cùng quan trọng giúp đảm bảo an toàn hệ thống. Các công cụ này cung cấp một phương thức ghi nhật ký và phân tích sự kiện, lưu lượng truy cập theo thời gian thực. Snort được mệnh danh là hệ thống phát hiện và ngăn chặn xâm nhập hàng đầu hiện nay. Bên cạnh đó, các phiên bản thương mại cũng đã được phát triển bởi Cisco kể từ khi mua lại Sourcefire vào năm 2013.
Snort có thể giám sát lưu lượng mạng một cách thụ động nhưng cũng có thể thực hiện các hành động ngăn chặn đối với các gói tin độc hại. Tuy nhiên, hacker có thể tấn công làm vô hiệu công cụ này để gửi các lưu lượng độc hại vào hệ thống.
Gần đây, Cisco đã phát hành bản vá cho lỗ hổng trong hệ thống Snort có thể gây ra tình trạng tấn công từ chối dịch vụ khiến cho việc ngăn chặn các trafic độc hại trở nên khó khăn.
CVE-2022-20685 (CVSS: 7.5/10) nằm trong bộ tiền xử lý Modbus của Snort. Lỗ hổng ảnh hưởng đến tất cả các phiên bản Snort trước 2.9.19 cũng như 3.1.11.0. Cisco cũng đã đưa ra danh sách thiết bị ảnh hưởng bởi lỗ hổng trong một bài viết hồi đầu tháng 1.
Uri Katz, nhà nghiên cứu bảo mật của Claroty, cho biết: “CVE-2022-20685 là một sự cố integer-overflow khiến bộ tiền xử lý Snort Modbus OT bước vào vòng lặp while vô hạn, việc khai thác thành công sẽ ngăn chặn Snort xử lý gói tin và tạo cảnh báo”. Hay nói cách khác, việc khai thác lỗ hổng có thể cho phép hacker thực hiện các tấn công từ chối dịch vụ (DoS) từ xa, cản trở khả năng phát hiện và ngăn chặn xâm nhập.
Katz cho biết: “Việc khai thác thành công các lỗ hổng trong các công cụ phân tích mạng như Snort có thể có tác động nghiêm trọng đến các mạng doanh nghiệp và mạng OT (Operational Technology).
https://thehackernews.com/