CVE-2024-47522
Suricata ja4: invalid alpn leads to panic
En resumen
Suricata se bloquea cuando encuentra datos ALPN inválidos (Negociación de Protocolo de Capa de Aplicación) en tráfico TLS/QUIC mientras JA4 está habilitado. Esto hace que la herramienta de monitoreo de seguridad deje de funcionar, interrumpiendo la protección de la red.
Detalle técnico
Una extensión ALPN malformada en handshakes TLS/QUIC provoca un pánico en la lógica de coincidencia JA4 de Suricata, causando la terminación del proceso. El ataque requiere solo acceso a nivel de red para enviar paquetes TLS/QUIC modificados; no se necesita autenticación ni condiciones especiales. El impacto es una denegación de servicio a la infraestructura de monitoreo.
Resumen generado y traducido por IA a partir de la descripción oficial.
Suricata is a network Intrusion Detection System, Intrusion Prevention System and Network Security Monitoring engine. Prior to version 7.0.7, invalid ALPN in TLS/QUIC traffic when JA4 matching/logging is enabled can lead to Suricata aborting with a panic. This issue has been addressed in 7.0.7. One may disable ja4 as a workaround.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
OISF · suricata¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/OISF/suricata/security/advisories/GHSA-w5xv-6586-jpm7https://redmine.openinfosecfoundation.org/issues/7267https://www.vicarius.io/vsociety/posts/cve-2024-47522-detect-suricata-vulnerabilityhttps://www.vicarius.io/vsociety/posts/cve-2024-47522-mitigate-suricata-vulnerability