Компания Cisco опубликовала информацию о двух новых уязвимостях в движке обнаружения Snort 3, затрагивающих широкий спектр продуктов для корпоративной безопасности. Проблемы, зарегистрированные как CVE-2026-20026 и CVE-2026-20027, обнаружены в механизме обработки запросов Distributed Computing Environment Remote Procedure Call (DCE/RPC). Эти уязвимости позволяют удаленным злоумышленникам без аутентификации либо раскрывать конфиденциальную информацию, либо вызывать отказ в обслуживании, нарушая критически важный процесс инспекции сетевых пакетов.
Детали уязвимостей
Первая уязвимость, CVE-2026-20026, связана с состоянием использования памяти после её освобождения (use-after-free). Эксплуатация этой ошибки может привести к неожиданным перезагрузкам движка Snort 3. Следовательно, это прерывает анализ трафика, что ослабляет защиту сети. Вторая проблема, CVE-2026-20027, представляет собой уязвимость чтения за пределами выделенной памяти (out-of-bounds read). Она позволяет атакующим извлекать чувствительные данные непосредственно из потока информации, обрабатываемого Snort 3.
Обе уязвимости получили средний уровень серьезности с базовыми оценками CVSS 5.8 и 5.3 соответственно. Важно отметить, что вектор атаки доступен через сеть и не требует аутентификации или взаимодействия с пользователем. Для эксплуатации злоумышленнику необходимо отправить большой объем специально сформированных DCE/RPC-запросов через установленное соединение, которое находится под наблюдением Snort 3. Хотя это создает определенный технический барьер, потенциальные последствия - утечка данных или отключение механизмов инспекции - представляют значительный риск для сетевой обороны.
Под угрозой находятся многие продукты экосистемы Cisco. В частности, это межсетевые экраны Cisco Secure Firewall Threat Defense (FTD), где Snort 3 работает по умолчанию в новых установках, начиная с версии 7.0.0. Кроме того, затронуты платформы на базе Cisco IOS XE, включая серии Catalyst 8000 и 8500, а также маршрутизаторы Integrated Services Routers, если в них установлен и активирован дополнительный модуль Unified Threat Defense. Уязвимыми остаются и устройства Cisco Meraki MX серий (от MX67 до MX600, включая виртуальные варианты) до выхода запланированных обновлений.
Cisco не предлагает обходных путей для устранения этих уязвимостей. Таким образом, единственным способом устранения рисков является установка обновлений программного обеспечения. Для открытых развертываний Snort 3 необходимо немедленно обновиться до версии 3.9.6.0. Для систем FTD исправления уже доступны для версий 7.0 и 7.2 через Центр программного обеспечения Cisco. Обновления для IOS XE запланированы к выпуску в версии 26.1.1 в феврале 2026 года. Аналогично, патчи для линейки Meraki MX ожидаются в феврале 2026.
Группа реагирования на инциденты безопасности продуктов Cisco подтвердила, что на момент публикации бюллетеня не было зафиксировано случаев активной эксплуатации уязвимостей в дикой природе. Следовательно, у организаций есть временное окно для планового устранения проблем. Специалистам по кибербезопасности рекомендуется использовать инструмент Cisco Software Checker для проверки своих активов на предмет уязвимости и определения приоритетов для установки исправлений. Своевременное обновление прошивок и программного обеспечения остается ключевой мерой для поддержания целостности и конфиденциальности корпоративных сетей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20026
- https://www.cve.org/CVERecord?id=CVE-2026-20027
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snort3-dcerpc-vulns-J9HNF4tH
