Hack Alerta

Falhas no motor Snort 3 da Cisco permitem crash e vazamento

Por Redação Hack Alerta Publicado em 08/01/2026 10:02 Riscos e Ameaças Tempo de leitura: 3 min

Duas falhas em Snort 3 (CVE‑2026‑20026 e CVE‑2026‑20027) permitem negação de serviço e vazamento de dados na engine de detecção da Cisco. Affects Secure FTD 7.0.0+ e Meraki; Cisco lançou Snort 3.9.6.0 e hotfixes. Recomenda‑se aplicar atualizações e monitorar reinicializações anômalas.

Falhas no motor Snort 3 da Cisco permitem crash e vazamento de dados

Cisco divulgou correções para duas falhas na engine de detecção Snort 3 que podem causar negação de serviço e vazamento de informação. As falhas afetam implantações que usam Snort 3 por padrão, incluindo versões do Secure Firewall Threat Defense e appliances Meraki.

Resumo técnico

Segundo a Cyber Security News, as vulnerabilidades decorrem do tratamento incorreto de requisições DCE/RPC pelo parser da engine. O processamento inadequado de buffers permite condições de use‑after‑free (CVE‑2026‑20026) e leituras fora de limites (CVE‑2026‑20027).

  • CVE‑2026‑20026: use‑after‑free que pode provocar reinicialização inesperada da engine e interrupção da inspeção de pacotes (DoS). CVSS informado: 5.8.
  • CVE‑2026‑20027: leitura out‑of‑bounds capaz de expor dados adjacentes na memória do mecanismo de inspeção. CVSS informado: 5.3.

Alcance e impacto operacional

A superfície de ataque é ampla, porque Snort 3 foi ativado por padrão em novas instalações de Cisco Secure FTD (7.0.0 e posteriores) e também está presente em distribuições open‑source de Snort 3 e em appliances Meraki. Ambas as falhas não exigem autenticação e podem ser exploradas pelo tráfego que passa pela engine de inspeção — inclusive tráfego estabelecido que transporte DCE/RPC.

Impacto prático:

  • Interrupção da inspeção de rede (falha de detecção) por Crashes/DoS.
  • Exfiltração pontual de dados sensíveis que trafegam pela engine, potencialmente incluindo metadados de inspeção.

Mitigações e postura recomendada

Cisco publicou versões corrigidas (entre elas Snort 3.9.6.0) e hotfixes para o Secure FTD. A recomendação operacional imediata é realizar o upgrade para as versões indicadas e aplicar hotfixes nas instâncias expostas. Para ambientes que não possam atualizar imediatamente, mitigações temporárias incluem restringir exposição de serviços que encaminhem DCE/RPC por inspeção de perímetro e monitorar instâncias por crashes/Restarts incomuns.

Evidências públicas e limitações

As fontes não reportam exploração em massa, atribuição de atacantes ou uso em campanhas específicas; as informações públicas concentram‑se na descrição técnica e nos releases de correção. Defensores devem priorizar atualização devido à facilidade de exploração (sem autenticação) e ao fato de que a falha impacta funções críticas de inspeção de rede.

Observações finais

Operadores de rede devem priorizar: 1) inventariar instâncias que executem Snort 3 (incluindo Secure FTD 7.0.0+), 2) aplicar Snort 3.9.6.0 / hotfixes, 3) monitorar logs por reinicializações e sinais de leitura de memória anômalos, e 4) revisar regras de exposição de portas e tráfego DCE/RPC através de perímetro.

Baseado em publicação original de Cyber Security News
Tags: #snort3 #cisco #dce-rpc #doS #information-disclosure #secure-ftd #meraki #patch #network-inspection
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar