IDS: Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255

snort signatures
Опубликовано

Разбор сигнатуры IDS: Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255

CVE-2022-27255

В Realtek eCos RSDK 1.5.7p1 и MSDK 4.9.4p1 функция SIP ALG, которая переписывает данные SDP, имеет переполнение буфера на основе стека. Это позволяет злоумышленнику удаленно выполнить код без аутентификации с помощью созданного SIP-пакета, содержащего вредоносные SDP-данные.

POC

Сигнатура

alert udp any any -> any any (sid:1000000; \
msg:"Realtek eCOS SDK SIP Traffic Exploit CVE-2022-27255"; \
content: "invite"; depth: 6; nocase; \
content: "m=audio "; \
isdataat: 128,relative; content:!"|0d|"; within: 128;)

UDP-пакеты с SIP-сообщением "INVITE", строкой "m=audio" и размером больше 128 байт

Похожие записи:
  1. IDS: SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection
  2. IDS: MALWARE-OTHER Sinkhole reply - irc-sinkhole.cert.pl
  3. IDS: ET TROJAN W32/WannaCry.Ransomware Killswitch Domain HTTP Request 1
  4. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response
  5. IDS: ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)
CVE-2022-27255 IDS Snort
Добавить комментарий