Разбор сигнатуры IDS: Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255
CVE-2022-27255
В Realtek eCos RSDK 1.5.7p1 и MSDK 4.9.4p1 функция SIP ALG, которая переписывает данные SDP, имеет переполнение буфера на основе стека. Это позволяет злоумышленнику удаленно выполнить код без аутентификации с помощью созданного SIP-пакета, содержащего вредоносные SDP-данные.
POC
Сигнатура
1 2 3 4 5 | alert udp any any -> any any (sid:1000000; \ msg:"Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; \ content: "invite"; depth: 6; nocase; \ content: "m=audio "; \ isdataat: 128,relative; content:!"|0d|"; within: 128;) |
UDP-пакеты с SIP-сообщением "INVITE", строкой "m=audio" и размером больше 128 байт