TokyoBlackHatNews

esecurityplanet.com 5分で読了

Cisco Snort 3のセキュリティ欠陥がネットワーク検査を脅かす

新たに開示されたSnort 3の2つの脆弱性により、認証不要の攻撃者が細工したネットワークトラフィックを用いて検査を妨害したり、機密データを漏えいさせたりできる可能性があります。 

Snort 3はCiscoのセキュリティ製品全体に広く導入されているため、これらの脆弱性はネットワークベースの脅威検知に依存する幅広い組織に影響します。

これらの脆弱性は「…認証されていないリモート攻撃者がSnort 3検知エンジンに機密情報を漏えいさせたり、再起動させたりでき、その結果パケット検査が中断される可能性がある」と、Ciscoはアドバイザリで述べています

Snort 3の脆弱性による影響範囲

これらの脆弱性は、Cisco Secure Firewall Threat Defense(FTD)ソフトウェア、オープンソースのSnort 3、Unified Threat Defense(UTD)を搭載したCisco IOS XEソフトウェア、および複数のCisco Merakiアプライアンスに影響します。 

Secure FTDのバージョン7.0.0以降を運用している組織は、これらのリリースでSnort 3がデフォルトの検査エンジンとして動作するため、リスクが高まります。

Ciscoは、Snort 3がDistributed Computing EnvironmentおよびRemote Procedure Call(DCE/RPC)トラフィックをどのように処理するかを分析する中で、これらの問題を特定しました。 

検知エンジンがこれらのリクエストを大量に処理すると、バッファ管理ロジックの欠陥が誘発される可能性があります。

1つ目の脆弱性であるCVE-2026-20026は、エンジンのバッファ処理コードにおけるuse-after-free状態です。 

これを悪用するとSnort 3が予期せず再起動し、パケット検査が一時的に無効化されるサービス拒否(DoS)状態を引き起こす可能性があります。  

2つ目の問題であるCVE-2026-20027は、境界外読み取り(out-of-bounds read)の欠陥で、攻撃者が割り当てられたバッファに隣接するメモリからデータを抽出できる可能性があります。 

この脆弱性により、検査エンジンを通過する機密性の高いネットワークトラフィック(内部メタデータや認証情報を含む)が露出する可能性があります。

いずれの場合も、攻撃者は確立済みの接続上で、特別に細工したDCE/RPCリクエストを一連送信します。トラフィック自体は露骨に悪意のあるものである必要がないため、検知が困難です。

Ciscoは現時点で実際の悪用を報告していませんが、攻撃経路が単純で認証要件がないことから、概念実証(PoC)エクスプロイトが出現する可能性は高まります。

ネットワーク検査インフラの保護

検査エンジンはネットワークにおける重要な制御ポイントに位置するため、これらのSnort 3の脆弱性への対処は単一のパッチ適用だけでは不十分です。 

組織は、攻撃者が検知インフラ自体を直接狙う可能性があることを前提に、適切に計画を立てるべきです。 

以下の緩和策は、露出の低減、被害範囲(blast radius)の抑制、そして検査サービスが中断した場合でも可視性を維持することに焦点を当てています。 

  • 修正済みバージョンへ直ちにアップグレード(Snort 3.9.6.0および該当するCisco Secure FTDのホットフィックスを含む)し、更新後に検査が正しく再開されることを検証する。
  • ネットワーク境界で不要なトラフィックをブロックし、不要な場合はプロトコル検査を無効化することで、DCE/RPCへの露出を低減する。
  • ネットワークセグメンテーション最小権限構成、ならびに検査エンジンを機密性の高いコントロールプレーンから分離することで、攻撃の影響を制限する。
  • レート制限やアクセス制限などの上流制御を適用し、大量または不正な形式のトラフィックが検査エンジンに到達するのを防ぐ。
  • 監視を継続的に行い、異常なSnortの挙動(クラッシュ、繰り返しの再起動、メモリ異常、検査の欠落など)を検知するとともに、インシデント対応計画を定期的にテストする。
  • 高可用性またはフェイルオーバー構成を用いてレジリエンスを確保するよう設計し、検査エンジン障害時にも可視性が維持される、または迅速に復旧されるようにする。

検知エンジンの脆弱性は、放置すれば本番ワークロードの欠陥と同じくらい深刻な盲点を生み出し得ます。 

迅速なパッチ適用に多層防御とレジリエンス計画を組み合わせることで、組織は悪用の可能性と影響の双方を低減できます。

これらのSnort 3の脆弱性は、サイバーセキュリティにおける根強い課題を浮き彫りにしています。すなわち、防御ツールの弱点は、それらが保護するために設計されたシステムの欠陥と同様に、甚大な混乱を引き起こし得るという点です。

ネットワーク検査エンジンは重要な強制ポイントに位置しており、より複雑化し、ますます大量のトラフィックを処理するようになるにつれて、些細なメモリ処理の誤りであっても広範な影響を及ぼし得ます。 

これらのコンポーネントが障害を起こすと、組織は可視性を失ったり、機密データを露出させたり、検知における静かなギャップを生み出したりする可能性があります。その結果、単一デバイスをはるかに超えるリスクとなり、ネットワークセキュリティアーキテクチャ全体の完全性に影響します。

この種のシステミックリスクに対処するため、多くの組織はゼロトラストソリューションへと移行しつつあります。これは、単一の制御への依存を減らし、障害を前提として設計するアプローチです。 

翻訳元: https://www.esecurityplanet.com/threats/cisco-snort-3-security-flaws-threaten-network-inspection/

ソース: esecurityplanet.com
#Cisco #CVE-2026-20026 #CVE-2026-20027 #DCE/RPC #Snort 3 #サービス妨害(DoS) #ネットワーク検査 #バッファ管理 #情報漏えい #脆弱性

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布