Ciscoは、ファイアウォール、脅威防御システム、エッジプラットフォームなど複数のエンタープライズ向けセキュリティ製品に影響する、Snort 3検知エンジンの重大な脆弱性2件を公開しました。
アドバイザリ cisco-sa-snort3-dcerpc-vulns-J9HNF4tH の下でCVE-2026-20026およびCVE-2026-20027として追跡されているこれらの脆弱性により、認証不要のリモート攻撃者が機密情報を漏えいさせたり、パケット検査機能を妨害してサービス拒否(DoS)状態を引き起こしたりする可能性があります。
これらの脆弱性は、Distributed Computing Environment Remote Procedure Call(DCE/RPC)リクエストの処理時における不適切なバッファ処理ロジックに起因します。
1つ目の脆弱性であるCVE-2026-20026は、バッファのuse-after-free(解放後使用)状態に関するもので、攻撃者が予期しないエンジン再起動を引き起こし、重要なパケット検査処理を中断させる可能性があります。
2つ目のCVE-2026-20027は、境界外読み取り(out-of-bounds read)の脆弱性を悪用し、攻撃者がSnort 3のデータストリームから機密情報を抽出できる可能性があります。
両脆弱性はいずれも深刻度はMedium(中)と評価され、CVSS基本スコアはそれぞれ5.8および5.3です。いずれもネットワーク経由で攻撃可能で、認証やユーザー操作を必要としない攻撃ベクターであることを示しています。
脆弱性の影響範囲はCiscoの広範なセキュリティ製品群に及びます。オープンソースのSnort 3の導入環境では、直ちにバージョン3.9.6.0へパッチ適用する必要があります。
Snort 3を実行しているCisco Secure Firewall Threat Defense(FTD)システムも影響を受けます。注記によると、バージョン7.0.0以降の新規FTDインストールは既定でSnort 3を実行する一方、以前のリリースからアップグレードしたシステムは引き続きSnort 2を実行します。
Catalyst 8000および8500シリーズのエッジプラットフォームや統合サービスルータを含むCisco IOS XEベースのセキュリティ製品は、オプションのUnified Threat Defenseモジュールがインストールされ有効化されている場合に影響を受けます。
Cisco Snort 3の脆弱性
さらに、MX67からMX600までの各種モデルおよび仮想版を含むCisco Meraki MXシリーズアプライアンスは、2026年2月に予定されているパッチが適用されるまで脆弱な状態が続きます。
悪用には、攻撃者がSnort 3によって監視されている確立済み接続を通じて、大量の細工されたDCE/RPCリクエストを送信する必要があります。
包括的な修正として、オープンソース導入向けにはSnort 3.9.6.0、FTD 7.0および7.2向けにはSoftware Centerから入手可能なホットフィックス、そして Cisco IOS XE向け更新は2026年2月のバージョン26.1.1で提供予定です。
これはより単純な攻撃と比べると技術的な障壁があるものの、機密情報を漏えいさせたり検査メカニズムを停止させたりできる能力は、ネットワーク防御にとって重大なリスクとなります。
Ciscoは、これらの脆弱性を緩和する回避策は現時点で存在しないと明確に述べており、唯一の対処手段としてソフトウェア更新を必須としています。
影響を受ける製品を運用している組織は、CiscoのSoftware Checkerツールを参照して影響範囲を特定し、パッチ適用の優先順位付けを行うべきです。
Cisco Product Security Incident Response Teamは、アドバイザリ公開時点での能動的な悪用や公的な情報公開は確認されていないとし、影響を受けるインフラ全体で秩序立った是正対応を行うための猶予があることを示しています。
翻訳元: https://gbhackers.com/cisco-snort-3/
