Банк данных угроз безопасности информации (BDU) подтвердил критическую уязвимость в механизме обнаружения Snort 3, который используется в семействе программных межсетевых экранов Cisco Secure Firewall Threat Defense (FTD). Ошибка, получившая идентификатор BDU:2026-01755, связана с повторным освобождением памяти. Эксплуатация этой уязвимости позволяет удаленному злоумышленнику вызвать отказ в обслуживании, что потенциально может привести к полному прекращению работы системы защиты.
Детали уязвимости
Уязвимость затрагивает широкий спектр версий программного обеспечения. В частности, под угрозой находятся все версии Cisco FTD, начиная с 7.0.0 и заканчивая 7.7.10.1. Кроме того, уязвима сама система обнаружения вторжений Snort в третьей основной версии. Ошибка была официально подтверждена производителем, Cisco Systems Inc., что подчеркивает ее серьезность. Уже существуют эксплойты, которые манипулируют структурами данных для эксплуатации этой слабости.
Технически проблема классифицируется как CWE-415 (Double Free). Этот тип уязвимости возникает, когда программа неправильно освобождает один и тот же участок памяти более одного раза. В результате память может быть повреждена, что приводит к сбоям в работе приложения или позволяет злоумышленнику выполнить произвольный код. В данном случае успешная атака может нарушить работу механизма обнаружения Snort, что поставит под угрозу весь межсетевой экран.
Уровень опасности уязвимости оценивается как критический. Базовые оценки CVSS составляют 10.0 для версии 2.0 и 9.8 для версии 3.1. Столь высокие баллы присваиваются редко и указывают на чрезвычайно серьезную угрозу. Уязвимость не требует аутентификации злоумышленника, эксплуатируется удаленно и может привести к полному компрометированию конфиденциальности, целостности и доступности системы.
Для устранения угрозы Cisco выпустила официальный бюллетень безопасности. Производитель настоятельно рекомендует администраторам немедленно обновить программное обеспечение до исправленных версий. Соответствующие патчи и инструкции по обновлению опубликованы на сайте компании. По данным бюллетеня, уязвимость уже устранена в актуальных версиях ПО. Своевременное применение обновлений является ключевой мерой защиты.
Важно отметить, что данная уязвимость также зарегистрирована в международной базе CVE под идентификатором CVE-2026-20026. Это облегчает ее отслеживание и управление в глобальных системах безопасности. Специалисты по кибербезопасности рекомендуют организациям, использующим Cisco FTD, провести аудит своих систем. Необходимо убедиться, что все устройства работают на версиях, не подверженных данной проблеме.
В контексте современных угроз подобные уязвимости в ключевых системах защиты, таких как межсетевые экраны следующего поколения, представляют особую опасность. Они могут быть использованы злоумышленниками для первоначального проникновения в сеть или для дестабилизации ее работы. Поэтому оперативное реагирование на такие инциденты критически важно для поддержания общей безопасности инфраструктуры.
Таким образом, уязвимость в Snort 3 требует безотлагательных действий со стороны ИТ-администраторов. Учитывая критический уровень угрозы и наличие работающих эксплойтов, промедление с установкой обновлений может привести к серьезным последствиям. Регулярное обновление средств защиты остается одним из самых эффективных способов противодействия киберугрозам.
Ссылки
- https://bdu.fstec.ru/vul/2026-01755
- https://www.cve.org/CVERecord?id=CVE-2026-20026
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snort3-dcerpc-vulns-J9HNF4tH
