L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Détection de machines masquées avec le champ ID

Synthèse de la vulnérabilité 

Un attaquant pourrait détecter les machines privées situées derrière un firewall de type masquerade.
Produits vulnérables : NETBuilder II.
Gravité de cette faille : 1/4.
Date de création : 09/11/2001.
Références de ce bulletin : V6-3COMNETBUILDERIPID, VIGILANCE-VUL-1992.

Description de la vulnérabilité 

La translation d'adresse de type port (masquerade) permet de masquer les adresses d'un réseau par une adresse publique unique. Par exemple, le réseau 192.168.1.0/24 peut être masqué derrière l'adresse IP 1.2.3.4, qui sera la seule adresse vue du monde extérieur.

Le champ Identifiant de l'entête IP permet de réassembler les paquets fragmentés. Ce numéro est généralement incrémenté d'une session à l'autre.

Un attaquant peut mettre en oeuvre une démarche permettant de deviner si une machine du réseau privé existe :
 - l'attaquant envoie un paquet à destination du firewall et note l'ID du paquet reçu
 - l'attaquant envoie un paquet SYN à destination du firewall, et avec comme adresse IP source une adresse du réseau privé (par exemple 192.168.1.1)
 - si la machine 192.168.1.1 existe :
     + le firewall répond un SYN-ACK à destination de 192.168.1.1
     + la machine 192.168.1.1 rejette la session
     Les numéros d'ID ont donc été incrémentés sur le firewall
 - sinon, le firewall jette le paquet, et les numéros d'ID n'ont donc pas été incrémentés
 - l'attaquant envoie un paquet à destination du firewall et note l'ID du paquet reçu
La différence des ID du firewall permet donc de savoir si la machine privée a été contactée

Cette attaque nécessite plusieurs prérequis :
 - les flux à destination du firewall ne doivent pas être bloqués
 - le firewall ne doit pas être doté de règles anti-spoofing

Cette vulnérabilité pourrait alors permettre à un attaquant distant d'obtenir des informations sur un réseau privé.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cet avis sécurité concerne les logiciels ou systèmes comme NETBuilder II.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte sécurité est faible.

Le niveau de confiance est de type sources contradictoires, avec une provenance de serveur internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette vulnérabilité.

Solutions pour cette menace 

Solution pour Détection de machines masquées avec le champ ID.
Il faut filtrer les flux externes ayant pour adresse IP source une adresse interne.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des annonces de vulnérabilité applicative. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.