Krytyczna podatność (CVSS 9.8/10.0) w popularnym pakiecie do monitorowania urządzeń – Net-SNMP

Dla osób spotykających się z tym programem po raz pierwszy krótkie wyjaśnienie. ZDI zajmuje się koordynowaniem tzw. odpowiedzialnego zgłaszania błędów (responsible disclosure). Dzięki tej inicjatywie, luka zostaje zgłoszona bezpośrednio do twórców oprogramowania, a po wydaniu łatki bezpieczeństwa następuje jej upublicznienie. Oczywiście osoba zgłaszająca podatność, po jej potwierdzeniu otrzymuje propozycję wynagrodzenia.

Podatność została oznaczona identyfikatorem CVE-2025-68615 i oceniona CVSS na poziomie 9.8/10.0. Luka występuje w demonie snmptrapd (odpowiedzialnym za odbieranie powiadomień z monitorowanych urządzeń) i skutkuje nieoczekiwaną awarią usługi (DoS). Teoretycznie istnieje możliwość RCE, chociaż nigdzie nie został opublikowany PoC exploitu. Co więcej, atakujący nie musi posiadać specjalnych uprawnień. Wystarczy wysłać odpowiednio zmodyfikowany pakiet sieciowy SNMP, by doprowadzić do przepełnienia bufora i wywołać awarię usługi.

Awaria usługi snmptrapd niesie za sobą poważne konsekwencje, ponieważ skutkuje utratą przychodzących alertów, co bezpośrednio przekłada się na opóźnioną reakcję na incydenty.

Podatność występuje we wszystkich wersjach pakietu przed Net-SNMP 5.9.5 oraz 5.10.pre2.

Twórcy pakietu wydali już oficjalną poprawkę bezpieczeństwa. Nie ma innego sposobu na obejścia problemu niż wdrożenia poprawek.

Zalecamy jak najszybszą aktualizację podatnych wersji pakietu.

Źródło: cve.org, github.com

~_secmike