Специалисты Cisco обнаружили три уязвимости в анализаторе сетевого трафика Wireshark. Бреши, получившие номера CVE-2018-16056, CVE-2018-16057 и CVE‑2018-16058, позволяют удаленному злоумышленнику вызвать отказ в обслуживании через атаку на один из компонентов приложения. Разработчик залатал баги выпуском обновленных версий программы.

Ошибки выявлены в диссекторах Bluetooth протоколов ATT (Low Energy Attribute Protocol) и AVDTP (Audio/Video Data Transport Protocol), а также аналогичном компоненте для обработчика Radiotap-заголовков стандарта IEEE 802.11. Во всех трех случаях атакующий может послать вредоносный пакет в сеть или убедить жертву открыть модифицированный файл трассировки сетевых данных. После обработки эксплойта целевой модуль Wireshark прекратит работу, что приведет к отказу в обслуживании.

Ошибки в коде файла epan/dissectors/packet-btatt.c приводят к тому, что система не выполняет проверку универсального идентификатора (UUID) диссектора ATT. Уязвимости модуля Radiotap обусловлены недостаточными проверками привязки в функции ieee80211_radiotap_iterator_next () в тексте epan /dissectors /packet-ieee80211-radiotap-iter.c. Проблемы компонента AVDTP вызваны неправильной инициализацией структуры данных в исходниках epan/dissectors/packet-btavdtp.c.

Специалисты отмечают, что для инъекции вредоносного пакета злоумышленнику потребуется доступ к сети, в которой запущено приложение. Это требование несколько снижает уровень угрозы — эксперты Cisco оценили все три бага в 7,5 балла по шкале CVSS.

Бреши найдены в трех актуальных на данный момент релизах Wireshark версий 2.2, 2.4 и 2.6. Получив информацию об уязвимостях, создатели приложения выпустили заплатки, которые закрывают обнаруженные баги. Пользователям рекомендуют обновиться до сборок с номерами 2.6.3, 2.4.9 или 2.2.17.

Являясь легитимным приложением, Wireshark может быть использовано как один из инструментов кибератаки. В ноябре 2016 года ИБ-специалист Уилл Дорманн (Will Dormann) использовал программу для демонстрации уязвимости в почтовом клиенте Microsoft Outlook. После открытия вредоносного объекта, внедренного в документ, исследователь применил утилиту для определения IP-адреса, имени домена и пользователя, а также хэша паролей. Microsoft залатала этот баг лишь в апреле этого года.

Категории: Другие темы, Кибероборона, Уязвимости