← voltar
CVE-2024-37151

Suricata defrag: IP ID reuse can lead to policy bypass

CVSS 5.3 MEDIUMEPSS 0.6%CWE-754
Em resumo

Suricata falha ao remontar corretamente pacotes fragmentados de rede que reutilizam o mesmo IP ID, permitindo que tráfego malicioso ultrapasse as políticas de segurança. Essa falha permite que atacantes evitem detecção fragmentando pacotes de forma que o sistema não consegue reconstruir.

Detalhe técnico

O mecanismo de desfragmentação do Suricata manipula incorretamente múltiplos pacotes IP fragmentados que compartilham IDs idênticos, resultando em falha de remontagem. Isso permite que atacantes criem pacotes fragmentados que evitam verificações de políticas, particularmente em cenários de monitoramento de rede. A mitigação requer atualização para versões 7.0.6 ou 6.0.20, ou habilitar defrag em interfaces af-packet.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Suricata is a network Intrusion Detection System, Intrusion Prevention System and Network Security Monitoring engine. Mishandling of multiple fragmented packets using the same IP ID value can lead to packet reassembly failure, which can lead to policy bypass. Upgrade to 7.0.6 or 6.0.20. When using af-packet, enable `defrag` to reduce the scope of the problem.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Produtos afetados
OISF · suricata

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/OISF/suricata/commit/9d5c4273cb7e5ca65f195f7361f0d848c85180e0https://github.com/OISF/suricata/commit/aab7f35c76721df19403a7c0c0025feae12f3b6bhttps://github.com/OISF/suricata/security/advisories/GHSA-qrp7-g66m-px24https://lists.debian.org/debian-lts-announce/2025/03/msg00029.htmlhttps://redmine.openinfosecfoundation.org/issues/7041https://redmine.openinfosecfoundation.org/issues/7042