Το Wireshark, ο πιο ευρέως χρησιμοποιούμενος αναλυτής πρωτοκόλλου δικτύου ανοιχτού κώδικα στον κόσμο, κυκλοφόρησε μια σημαντική ενημέρωση ασφαλείας που αντιμετωπίζει περισσότερα από 40 τρωτά σημεία, αρκετά από τα οποία επιτρέπουν την αυθαίρετη εκτέλεση κώδικα μέσω εσφαλμένης ένεσης πακέτων ή κακόβουλων αρχείων καταγραφής.
Οργανισμοί και άτομα που βασίζονται στο Wireshark για την παρακολούθηση δικτύου, την εγκληματολογία και την ανάλυση της κυκλοφορίας θα πρέπει να ενημερώνονται αμέσως στο Wireshark 4.6.5.
Κρίσιμες ατέλειες εκτέλεσης κώδικα
Οι πιο σοβαρές ευπάθειες σε αυτήν την έκδοση έχουν τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα (RCE), που ξεπερνά τον απλό αντίκτυπο της άρνησης παροχής υπηρεσιών. Τέσσερις ανατομείς και αναλυτές βρέθηκαν ευαίσθητοι:
- TLS Dissector (CVE-2026-5402) — Ένα σφάλμα με πιθανή εκτέλεση κώδικα κατά την ανάλυση της εσφαλμένης κυκλοφορίας TLS (wnpa-sec-2026-14)
- Κωδικοποιητής SBC (CVE-2026-5403) — Κατάρρευση με πιθανή εκτέλεση κώδικα στον επεξεργαστή κωδικοποιητή ήχου SBC (wnpa-sec-2026-16)
- RDP Dissector (CVE-2026-5405) — Κατάρρευση με πιθανή εκτέλεση κώδικα κατά την ανατομή πακέτων πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (wnpa-sec-2026-17)
- Εισαγωγή προφίλ (CVE-2026-5656) — Ένα σφάλμα με πιθανή εκτέλεση κώδικα που ενεργοποιήθηκε κατά τη διάρκεια λειτουργιών εισαγωγής προφίλ (wnpa-sec-2026-21)
Αυτά τα τρωτά σημεία είναι ιδιαίτερα επικίνδυνα επειδή το Wireshark εκτελείται συνήθως με αυξημένα προνόμια σε περιβάλλοντα επιχειρήσεων και SOC, πράγμα που σημαίνει ότι η επιτυχής εκμετάλλευση θα μπορούσε να δώσει στους εισβολείς σημαντική πρόσβαση στο σύστημα.
Denial-of-Service μέσω Dissector Crashes
Ένα μεγάλο μέρος των διορθωμένων ελαττωμάτων προκαλούν σφάλματα εφαρμογής όταν συγκεκριμένοι αναλυτές πρωτοκόλλου επεξεργάζονται πακέτα με κακή μορφή ή αντίθετα κατασκευασμένα πακέτα. Οι προσβεβλημένοι ανατομείς καλύπτουν ένα ευρύ φάσμα πρωτοκόλλων:
- Monero (CVE-2026-5409), BT-DHT (CVE-2026-5408), FC-SWILS (CVE-2026-5406), ICMPv6 (CVE-2026-5299)
- AFP (CVE-2026-5401), αναλυτής αρχείων K12 RF5 (CVE-2026-5404), κωδικοποιητής AMR-NB (CVE-2026-5654)
- SDP (CVE-2026-5655), κωδικοποιητής ήχου iLBC (CVE-2026-5657, CVE-2026-6529), DCP-ETSI (CVE-2026-5653, CVE-2026-6530)
- BEEP (CVE-2026-6538), ZigBee (CVE-2026-6537), Kismet (CVE-2026-6532)
- ASN.1 PER (CVE-2026-6527), RTSP (CVE-2026-6526), IEEE 802.11 (CVE-2026-6525)
- MySQL (CVE-2026-6524), GSM RP (CVE-2026-6870), WebSocket (CVE-2026-6869), HTTP (CVE-2026-6868)
Ένας εισβολέας στο ίδιο τμήμα δικτύου μπορεί να προκαλέσει αυτές τις διακοπές λειτουργίας εισάγοντας ειδικά δημιουργημένα πακέτα, χωρίς να απαιτείται έλεγχος ταυτότητας ή προηγούμενη πρόσβαση στο σύστημα προορισμού.
Άπειρος βρόχος και εξάντληση πόρων
Αρκετά τρωτά σημεία προκαλούν άπειρους βρόχους, κλείνοντας αποτελεσματικά το Wireshark και καταναλώνοντας πόρους του συστήματος σε κατάσταση παρατεταμένης άρνησης παροχής υπηρεσιών:
- SMB2 Dissector (CVE-2026-5407) — Άπειρος βρόχος μέσω κακής μορφής κυκλοφορίας SMB2 (wnpa-sec-2026-11)
- DLMS/COSEM (CVE-2026-6536), USB HID (CVE-2026-6534), SANE (CVE-2026-6531)
- GNW (CVE-2026-6523), OpenFlow v5 (CVE-2026-6521), OpenFlow v6 (CVE-2026-6520)
- MBIM (CVE-2026-6519), RPKI-Router (CVE-2026-6522), TLS Dissector (CVE-2026-6528)
Αυτά τα ελαττώματα που βασίζονται σε βρόχο είναι ιδιαίτερα προβληματικά σε αυτοματοποιημένες σωληνώσεις καταγραφής κυκλοφορίας όπου το Wireshark λειτουργεί χωρίς επιτήρηση, καθώς ένα μεμονωμένο πακέτο με κακή μορφή μπορεί να σταματήσει οριστικά την ανάλυση.
Ευπάθειες κινητήρα αποσυμπίεσης
Δύο ευπάθειες χαμηλού επιπέδου στοχεύουν τον βασικό μηχανισμό ανατομής του Wireshark και όχι μεμονωμένους αναλυτές πρωτοκόλλου:
- Συντριβή αποσυμπίεσης zlib (CVE-2026-6535) — Ζητήματα επιπτώσεων #21097 και #21098, όπου τα συμπιεσμένα ωφέλιμα φορτία με κακή μορφή καταστρέφουν τον αγωγό αποσυμπίεσης (wnpa-sec-2026-26)
- Συντριβή αποσυμπίεσης LZ77 (CVE-2026-6533) — Μια συντριβή που προκλήθηκε από λανθασμένα συμπιεσμένα με LZ77 δεδομένα κατά την ανατομή πακέτων (wnpa-sec-2026-28)
Αυτά τα ελαττώματα σε επίπεδο κινητήρα επηρεάζουν οποιοδήποτε πρωτόκολλο που χρησιμοποιεί συμπιεσμένα ωφέλιμα φορτία, διευρύνοντας ουσιαστικά την επιφάνεια επίθεσης πέρα από συγκεκριμένους διαχωριστές πρωτοκόλλου.
| Συστατικό | Τύπος ευπάθειας | Παραδείγματα CVE |
|---|---|---|
| TLS, RDP, SBC, Εισαγωγή προφίλ | Crash + Πιθανή εκτέλεση κώδικα | CVE-2026-5402, 5403, 5405, 5656 |
| SMB2, TLS, MBIM, OpenFlow | Infinite Loop / DoS | CVE-2026-5407, 6528, 6519, 6521 |
| Πολλαπλοί ανατομείς (20+) | Dissector Crash / DoS | CVE-2026-5299 έως CVE-2026-6870 |
| Μηχανή Ανατομής | Συντριβή αποσυμπίεσης zlib/LZ77 | CVE-2026-6535, CVE-2026-6533 |
Η ομάδα του Wireshark σημειώνει ότι αυτή η παρτίδα επιδιορθώσεων αποδίδεται εν μέρει στην αναφορά ευπάθειας με τη βοήθεια AI, η οποία επιτάχυνε την ανακάλυψη σε πολλές μονάδες πρωτοκόλλου ταυτόχρονα. Συνιστάται στους χρήστες να ενημερώσουν άμεσα την πιο πρόσφατη ενημερωμένη έκδοση του Wireshark 4.6.5 μέσω του επίσημη σελίδα λήψης Wireshark.
Οι οργανισμοί που εκτελούν το Wireshark σε λειτουργίες ζωντανής λήψης ή ενσωματωμένες στο SIEM θα πρέπει να αντιμετωπίζουν αυτήν την ενημέρωση ως κρίσιμη προτεραιότητα, δεδομένης της δυνατότητας εκτέλεσης κώδικα σε στοιχεία TLS, RDP και SBC.
VIA: cybersecuritynews.com
