Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
  accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

alerte de vulnérabilité 11656

TCP : injection de paquets via un firewall et un malware

Synthèse de la vulnérabilité

Lorsqu'un attaquant a installé un malware non privilégié sur un poste client, et qu'un firewall se situe entre ce client et un serveur TCP, un attaquant situé à l'extérieur du réseau peut deviner des numéros de séquence valides, afin d'injecter des données dans cette session TCP.
Produits concernés : CheckPoint Power-1 Appliance, CheckPoint Security Gateway, CheckPoint Smart-1, CheckPoint UTM-1 Appliance, VPN-1, CheckPoint VSX-1, TCP.
Gravité : 1/4.
Date création : 28/05/2012.
Références : FGA-2012-19, sk74640, VIGILANCE-VUL-11656.

Description de la vulnérabilité

Lorsqu'un malware privilégié est installé sur le poste de la victime, il peut interférer avec ses connexions TCP. Cependant, si le malware n'est pas privilégié, il ne peut pas le faire.

Les numéros de séquence et d'acquittement TCP permettent d'ordonner les données. Un attaquant doit deviner ces numéros (ainsi que les adresses IP et les ports, mais que l'on suppose connus par le malware via netstat) afin d'injecter des paquets illicites dans une session TCP en cours.

Les firewalls bloquent généralement les paquets TCP ayant un numéro de séquence hors de la fenêtre attendue. Cependant, lorsque cette fonctionnalité est activée, un attaquant distant peut envoyer une salve de paquets :
 - si l'un des paquets a traversé la fenêtre du firewall, le malware (qui observe par exemple les compteurs de paquets, qui sont peu fiables en environnement bruité) l'indique à l'attaquant externe
 - si aucun paquet n'a traversé, le malware indique à l'attaquant d'envoyer une autre salve
Ainsi, après plusieurs itérations, l'attaquant externe devine quelles sont les numéros de séquence actuellement valides.

Lorsqu'un attaquant a installé un malware non privilégié sur un poste client, et qu'un firewall se situe entre ce client et un serveur TCP, un attaquant situé à l'extérieur du réseau peut donc deviner des numéros de séquence valides, afin d'injecter des données dans cette session TCP. Cette vulnérabilité fonctionne aussi en inversant le client et le serveur.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Delicious Digg Facebook Google bookmarks LinkedIn Mail Reddit StumbleUpon Technorati Twitter 

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des alertes de vulnérabilité de logiciel. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.



















Copyright 1999-2013 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version