ข่าวนี้แจ้งเตือนถึงช่องโหว่วิกฤตสองประการในเอนจิ้นตรวจจับ Cisco Snort 3 ที่เป็นภัยต่อโครงสร้างพื้นฐานความปลอดภัยเครือข่ายของผลิตภัณฑ์ Cisco หลายรายการ ช่องโหว่เหล่านี้เกิดจากการจัดการคำขอ Distributed Computing Environment และ Remote Procedure Call (DCE/RPC) ที่ไม่เหมาะสม ซึ่งช่วยให้ผู้โจมตีจากระยะไกลสามารถขัดขวางบริการตรวจสอบแพ็คเก็ต (Denial of Service) หรือดึงข้อมูลที่ละเอียดอ่อนออกจากระบบได้ ผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่ ซอฟต์แวร์ Cisco Secure Firewall Threat Defense, Snort 3 แบบโอเพนซอร์ส, ซอฟต์แวร์ Cisco IOS XE ที่มีฟังก์ชัน Unified Threat Defense และอุปกรณ์ Cisco Meraki ต่างๆ โดยเฉพาะการติดตั้ง Cisco Secure FTD รุ่น 7.0.0 และใหม่กว่านั้นมีความเสี่ยงสูงเนื่องจาก Snort 3 ทำงานโดยค่าเริ่มต้นในเวอร์ชันเหล่านี้ การโจมตีไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ ทำให้ระบบที่เชื่อมต่ออินเทอร์เน็ตมีความเสี่ยงอย่างยิ่ง Cisco ได้ออกแพตช์สำหรับช่องโหว่เหล่านี้แล้ว.
Severity: วิกฤต
System Impact:
- ซอฟต์แวร์ Cisco Secure Firewall Threat Defense
- Snort 3 (โอเพนซอร์ส)
- ซอฟต์แวร์ Cisco IOS XE ที่มีฟังก์ชัน Unified Threat Defense
- อุปกรณ์ Cisco Meraki ต่างๆ
- Cisco Secure FTD releases 7.0.0 และใหม่กว่า (ที่ Snort 3 ทำงานโดยค่าเริ่มต้น)
Technical Attack Steps:
- ผู้โจมตีส่งคำขอ DCE/RPC ที่สร้างขึ้นมาเป็นพิเศษผ่านการเชื่อมต่อเครือข่ายที่ตั้งขึ้นและถูกตรวจสอบโดย Snort 3
- ช่องโหว่ใช้ประโยชน์จากตรรกะการวิเคราะห์โปรโตคอล DCE/RPC ที่ไม่เพียงพอภายในเอนจิ้นตรวจจับของ Snort 3
- กลไกการจัดการบัฟเฟอร์ทำงานผิดพลาด ทำให้เกิดสภาวะ Use-after-free (CVE-2026-20026) ซึ่งนำไปสู่การรีสตาร์ทเอนจิ้นโดยไม่คาดคิดและสภาวะ Denial of Service (DoS)
- นอกจากนี้ ยังเกิดข้อผิดพลาด Out-of-bounds read (CVE-2026-20027) ที่ทำให้ผู้โจมตีสามารถดึงข้อมูลที่ละเอียดอ่อนจากพื้นที่หน่วยความจำใกล้เคียง
- การโจมตีเหล่านี้สามารถดำเนินการได้โดยไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ใดๆ
Recommendations:
Short Term:
- อัปเกรดเป็น Snort 3.9.6.0 และฮอตฟิกซ์ต่างๆ สำหรับซอฟต์แวร์ Secure FTD ที่ออกโดย Cisco ทันที
Long Term:
- ตรวจสอบและอัปเดตโครงสร้างพื้นฐานความปลอดภัยเครือข่ายอย่างสม่ำเสมอ
- ใช้กระบวนการจัดการแพตช์ที่แข็งแกร่งและมีประสิทธิภาพ
- ปรับปรุงการตรวจสอบการรับส่งข้อมูลเครือข่ายเพื่อตรวจจับคำขอ DCE/RPC ที่ผิดปกติ
Source: https://cybersecuritynews.com/cisco-snort-3-detection-engine-vulnerability/
Share this content: