L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Check Point VPN-1

alerte de vulnérabilité informatique 12396

Check Point VPN-1 Power VSX : calcul incorrect de la politique

Synthèse de la vulnérabilité

Produits concernés : VPN-1, CheckPoint VSX-1.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, transit de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/02/2013.
Références : sk92023, VIGILANCE-VUL-12396.

Description de la vulnérabilité

La politique calculée par Check Point VPN-1 Power VSX permet à un attaquant d'accéder à une ressource, si elle a été précédemment utilisée par un autre utilisateur.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 12090

Check Point Security Gateway : déni de service via SYN Flood

Synthèse de la vulnérabilité

Lorsque le firewall Check Point Security Gateway est soumis à plus de 120 000 paquets TCP SYN par seconde, il consomme de nombreuses ressources CPU.
Produits concernés : CheckPoint Security Gateway, VPN-1.
Gravité : 1/4.
Conséquences : déni de service du serveur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 24/10/2012.
Références : sk86721, VIGILANCE-VUL-12090.

Description de la vulnérabilité

Le drapeau SYN du protocole TCP est utilisé pour initialiser des sessions.

Lorsque le firewall Check Point Security Gateway est soumis à plus de 120 000 paquets TCP SYN par seconde, il consomme de nombreuses ressources CPU.

Ce déni de service n'est pas causé par une vulnérabilité, mais Check Point propose des méthodes/correctifs pour optimiser les performances.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 11656

TCP : injection de paquets via un firewall et un malware

Synthèse de la vulnérabilité

Lorsqu'un attaquant a installé un malware non privilégié sur un poste client, et qu'un firewall se situe entre ce client et un serveur TCP, un attaquant situé à l'extérieur du réseau peut deviner des numéros de séquence valides, afin d'injecter des données dans cette session TCP.
Produits concernés : CheckPoint Power-1 Appliance, CheckPoint Security Gateway, CheckPoint Smart-1, CheckPoint UTM-1 Appliance, VPN-1, CheckPoint VSX-1, TCP (protocole).
Gravité : 1/4.
Conséquences : lecture de données, création/modification de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/05/2012.
Références : FGA-2012-19, sk74640, VIGILANCE-VUL-11656.

Description de la vulnérabilité

Lorsqu'un malware privilégié est installé sur le poste de la victime, il peut interférer avec ses connexions TCP. Cependant, si le malware n'est pas privilégié, il ne peut pas le faire.

Les numéros de séquence et d'acquittement TCP permettent d'ordonner les données. Un attaquant doit deviner ces numéros (ainsi que les adresses IP et les ports, mais que l'on suppose connus par le malware via netstat) afin d'injecter des paquets illicites dans une session TCP en cours.

Les firewalls bloquent généralement les paquets TCP ayant un numéro de séquence hors de la fenêtre attendue. Cependant, lorsque cette fonctionnalité est activée, un attaquant distant peut envoyer une salve de paquets :
 - si l'un des paquets a traversé la fenêtre du firewall, le malware (qui observe par exemple les compteurs de paquets, qui sont peu fiables en environnement bruité) l'indique à l'attaquant externe
 - si aucun paquet n'a traversé, le malware indique à l'attaquant d'envoyer une autre salve
Ainsi, après plusieurs itérations, l'attaquant externe devine quelles sont les numéros de séquence actuellement valides.

Lorsqu'un attaquant a installé un malware non privilégié sur un poste client, et qu'un firewall se situe entre ce client et un serveur TCP, un attaquant situé à l'extérieur du réseau peut donc deviner des numéros de séquence valides, afin d'injecter des données dans cette session TCP. Cette vulnérabilité fonctionne aussi en inversant le client et le serveur.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 11424

Check Point Firewall VPN-1 : obtention du nom de machine

Synthèse de la vulnérabilité

Un attaquant non authentifié peut envoyer une requête vers le service SecuRemote Topology, afin d'obtenir le nom de machine du firewall.
Produits concernés : CheckPoint SecuRemote, VPN-1.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : sources contradictoires (1/5).
Date création : 12/03/2012.
Références : sk69360, VIGILANCE-VUL-11424.

Description de la vulnérabilité

Le service VPN SecuRemote du firewall Check Point écoute sur le port 264/tcp, afin de délivrer des informations de topologie aux clients VPN.

Un client non authentifié peut se connecter sur ce service, et obtenir un certificat. Cependant, le champ Common Name de ce certificat indique le nom du firewall, et le nom du SmartCenter.

Un attaquant non authentifié peut donc envoyer une requête vers le service SecuRemote Topology, afin d'obtenir le nom de machine du firewall.

On peut noter que cette information peut être considérée comme publique, mais elle permet de détecter la présence d'un firewall.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 10450

Check Point Endpoint : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant local peut employer une vulnérabilité de Check Point Endpoint Security Client, Endpoint Connect ou SSL Network Extender, afin d'obtenir les privilèges du système Windows.
Produits concernés : VPN-1.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/03/2011.
Références : BID-46852, sk60510, VIGILANCE-VUL-10450.

Description de la vulnérabilité

Les produits Check Point Endpoint Security Client/VPN, Endpoint Connect et SSL Network Extender s'installent sous Windows.

Un attaquant local peut employer une vulnérabilité de ces produits, afin d'obtenir les privilèges du système Windows.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2010-0102

IDS, IPS : Advanced Evasion Techniques

Synthèse de la vulnérabilité

Vingt trois cas de techniques standards de variation de paquets ne sont pas détectées par la majorité des IDS/IPS.
Produits concernés : FW-1, CheckPoint Security Gateway, VPN-1, Cisco IPS, TippingPoint IPS, McAfee NTBA, Snort.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 17/12/2010.
Références : CVE-2010-0102, SBP-2010-31, SBP-2010-32, SBP-2010-33, SBP-2010-34, SBP-2010-35, VIGILANCE-VUL-10227.

Description de la vulnérabilité

Les IDS/IPS capturent les trames réseau, et analysent leurs contenus, afin de détecter des tentatives d'intrusion. Les attaquants font légèrement varier les paquets réseau, afin de contourner les IDS/IPS. Vingt trois cas de techniques standards de variation de paquets ne sont pas détectées par la majorité des IDS/IPS. Ces 23 cas concernent les protocoles IPv4, TCP, SMB et MSRPC. Ils sont basés sur des méthodes connues depuis 12 ans. Stonesoft a nommé ces cas "Advanced Evasion Techniques". Ils ont été annoncés dans VIGILANCE-ACTU-2612.

Un attaquant peut envoyer un paquet SMB Write avec une valeur "writemode" spéciale, suivi d'autres paquets SMB Write qui seront ignorés. [grav:2/4]

Un attaquant peut scinder les données de SMB Write en paquets ne contenant qu'un seul octet, encapsulés dans de petits fragments IPv4/TCP. [grav:2/4]

Un attaquant peut dupliquer chaque paquet IPv4, en lui ajoutant des options IPv4. [grav:2/4]

Un attaquant peut fragmenter les requêtes MSRPC en paquets contenant au plus 25 octets de données. [grav:2/4]

Un attaquant peut envoyer des messages MSRPC où tous les entiers sont encodés en Big Endian au lieu de Little Endian. [grav:2/4]

Un attaquant peut modifier les drapeaux NDR des messages MSRPC. [grav:2/4]

Un attaquant peut créer des messages MSRPC fragmentés dans des requêtes SMB fragmentées. [grav:2/4]

Un attaquant peut fragmenter des messages SMB en blocs contenant un octet de données. [grav:2/4]

Un attaquant peut fragmenter des messages SMB en blocs contenant au plus 32 octets de données. [grav:2/4]

Un attaquant peut employer un nom de fichier SMB commençant par "inutile\..\". [grav:2/4]

Un attaquant peut employer des segments TCP se chevauchant. [grav:2/4]

Un attaquant peut envoyer des segments TCP dans le désordre. [grav:2/4]

Un attaquant peut fragmenter des données TCP en blocs d'un octet. [grav:2/4]

Un attaquant peut utiliser une deuxième session TCP utilisant les mêmes numéros de port. [grav:2/4]

Un attaquant peut utiliser une session TCP, donc le premier octet est envoyé avec le drapeau urgent. [grav:2/4]

Un attaquant peut employer un message NetBIOS, dont les données ressemblent à une requête HTTP GET. [grav:2/4]

Un attaquant peut injecter 5 SMB Write dans une session SMB Write. [grav:2/4]

Un attaquant peut fragmenter une requête MSRPC dans des paquets TCP envoyés dans l'ordre inverse. [grav:2/4]

Un attaquant peut fragmenter une requête MSRPC dans des paquets TCP envoyés dans un ordre aléatoire. [grav:2/4]

Un attaquant peut fragmenter une requête MSRPC dans des paquet TCP envoyés avec un numéro de séquence initial proche de 0xFFFFFFFF. [grav:2/4]

Un attaquant peut envoyer un paquet NetBIOS vide, avant chaque message NetBIOS. [grav:2/4]

Un attaquant peut envoyer un paquet NetBIOS de type invalide, avant chaque message NetBIOS. [grav:2/4]

Un attaquant peut employer une variation inconnue. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2008-4609

TCP : déni de service Sockstress

Synthèse de la vulnérabilité

Un attaquant peut employer des fenêtres TCP de petite taille afin de surcharger un serveur TCP.
Produits concernés : ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, VPN-1, ASA, Cisco Catalyst, IOS par Cisco, Cisco Router, BIG-IP Hardware, TMOS, Linux, Windows 2000, Windows 2003, Windows 2008 R0, Windows (plateforme) ~ non exhaustif, Windows Vista, Windows XP, NLD, OES, OpenSolaris, openSUSE, Solaris, Trusted Solaris, TCP (protocole), StoneGate Firewall, StoneGate IPS, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : déni de service du serveur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 01/10/2008.
Dates révisions : 20/10/2008, 09/09/2009.
Références : 109444, 110132, 267088, 6759500, 967723, BID-31545, c01923093, CERTA-2009-ALE-017-003, cisco-sa-20090908-tcp24, cisco-sr-20081017-tcp, cpujul2012, CVE-2008-4609, FICORA #193744, HPSBMI02473, MS09-048, SA34, SA35, SA36, SA37, SA38, SA40, SA41, sk42723, sk42725, SOL10509, SOL7301, SOL9293, SSRT080138, SUSE-SA:2009:047, VIGILANCE-VUL-8139, VU#723308.

Description de la vulnérabilité

Le champ "window" d'un paquet TCP indique la taille de la fenêtre tolérée (et donc de l'intervalle) pour les numéros de séquence des paquets arrivant.

Selon le protocole TCP, lorsque le système ne peut plus recevoir beaucoup de données (par exemple si ses buffers sont presque pleins), il diminue la valeur du champ "window". L'hôte distant envoie alors progressivement ses données.

Un attaquant peut donc se connecter sur un service TCP en écoute, et ainsi artificiellement prolonger la durée de la session, afin de surcharger l'hôte distant.

L'attaquant peut combiner cette vulnérabilité avec un "reverse syn cookies" et l'option TCP Timestamp afin de ne pas avoir à garder d'état sur sa machine.

Un attaquant peut ainsi employer peu de ressources sur sa machine, et forcer l'utilisation de nombreuses ressources sur la cible. L'impact de ce déni de service temporaire dépend du système cible, et est comparable à un attaquant ouvrant réellement de nombreuses sessions TCP (à la différence que cela consomme peu de ressources sur sa machine). L'attaquant ne peut pas usurper (spoofer) son adresse IP pour mener cette attaque.

Il y a plusieurs variantes d'attaques, liées à la taille de la fenêtre ou à la réouverture temporaire de la fenêtre. La vulnérabilité VIGILANCE-VUL-8844 peut être considérée comme une variante.

Lorsque l'attaquant cesse d'envoyer des paquets, le déni de service cesse. Cependant, certaines erreurs d'implémentations additionnelles (comme la vulnérabilité Microsoft CVE-2009-1926 de VIGILANCE-VUL-9008, ou les vulnérabilités de Cisco Nexus 5000 décrites dans la solution pour Cisco) font que le déni de service reste permanent.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 8844

TCP : déni de service Nkiller2

Synthèse de la vulnérabilité

Un attaquant peut employer des fenêtres TCP de taille nulle afin de surcharger un serveur TCP.
Produits concernés : ProxyAV, ProxyRA, ProxySG par Blue Coat, SGOS par Blue Coat, VPN-1, ASA, Cisco Catalyst, IOS par Cisco, Cisco Router, BIG-IP Hardware, TMOS, Linux, Windows 2000, Windows 2003, Windows 2008 R0, Windows Vista, Windows XP, NLD, OES, OpenSolaris, openSUSE, Solaris, Trusted Solaris, TCP (protocole), SLES.
Gravité : 2/4.
Conséquences : déni de service du serveur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/07/2009.
Date révision : 09/09/2009.
Références : 109444, 110132, 267088, 6759500, 967723, CERTA-2009-ALE-017-003, cisco-sa-20090908-tcp24, cisco-sr-20081017-tcp, FICORA #193744, MS09-048, SA34, SA35, SA36, SA37, SA38, SA40, SA41, sk42723, sk42725, SOL10509, SOL7301, SOL9293, SUSE-SA:2009:047, VIGILANCE-VUL-8844.

Description de la vulnérabilité

Le champ "window" d'un paquet TCP indique la taille de la fenêtre tolérée (et donc de l'intervalle) pour les numéros de séquence des paquets arrivant.

Selon le protocole TCP, lorsque le système ne peut plus recevoir de paquets (par exemple si ses buffers sont pleins), il utilise un champ "window" valant zéro. L'hôte distant doit alors patienter avant d'envoyer de nouvelles données. Après un certain timeout, il tente de réémettre. S'il ne reçoit pas de réponse, il clôt la session. Cependant, s'il reçoit une réponse tardive, il patiente de nouveau.

Un attaquant peut donc se connecter sur un service TCP en écoute, et ainsi artificiellement prolonger la durée de la session, afin de surcharger l'hôte distant.

L'attaquant peut combiner cette vulnérabilité avec un "reverse syn cookies" et l'option TCP Timestamp afin de ne pas avoir à garder d'état sur sa machine.

Un attaquant peut ainsi employer peu de ressources sur sa machine, et forcer l'utilisation de nombreuses ressources sur la cible. L'impact de ce déni de service temporaire dépend du système cible, et est comparable à un attaquant ouvrant réellement de nombreuses sessions TCP (à la différence que cela consomme peu de ressources sur sa machine). L'attaquant ne peut pas usurper (spoofer) son adresse IP pour mener cette attaque.

L'attaque est particulièrement efficace contre un serveur web, en lui demandant de délivrer un gros document, puis en baissant la taille de la fenêtre. Le serveur web garde alors en mémoire ce document en cours de traitement.

Lorsque l'attaquant cesse d'envoyer des paquets, le déni de service cesse.

Cette vulnérabilité est similaire à VIGILANCE-VUL-8139.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 8427

Nokia IPSO : déni de service via SecureXL et NAT

Synthèse de la vulnérabilité

Lorsque SecureXL est activé, un paquet accepté et translaté peut stopper le firewall.
Produits concernés : IPSO, VPN-1.
Gravité : 3/4.
Conséquences : déni de service du serveur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 28/01/2009.
Références : VIGILANCE-VUL-8427.

Description de la vulnérabilité

La fonctionnalité SecureXL permet d'optimiser les performances en déléguant certaines opérations à l'IPSO.

Un attaquant peut stopper le firewall dans la situation suivante :
 - SecureXL est actif,
 - l'attaquant envoie un paquet spécial (fragment IP de taille inférieure à 20 octets),
 - ce paquet correspond à une règle autorisée,
 - ce paquet correspond à une règle translatée,
 - ce paquet correspond à une règle traversant le firewall

Lorsque SecureXL est activé, un attaquant peut donc envoyer un paquet illicite afin de stopper le firewall.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2008-5849

Checkpoint VPN-1 : obtention de l'adresse IP privée

Synthèse de la vulnérabilité

Un attaquant peut obtenir l'adresse IP privée des services ayant une translation d'adresse PAT.
Produits concernés : VPN-1.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/11/2008.
Date révision : 08/01/2009.
Références : BID-32306, CERTA-2009-AVI-004, CVE-2008-5849, sk36321, VIGILANCE-VUL-8255.

Description de la vulnérabilité

Le firewall Checkpoint VPN-1 peut être configuré pour translater certains ports (PAT, Port Address Translation) vers des machines internes ayant une adresse IP privée. Le port 18264/tcp est généralement configuré en PAT pour atteindre le Firewall Management Server.

Le champ TTL d'un paquet IP indique le nombre de routeurs qu'un paquet peut traverser. Ce nombre est décrémenté sur chaque routeur. Lorsqu'il atteint zéro, un message ICMP d'erreur est retourné à l'expéditeur. Ce message ICMP contient le début du paquet d'origine.

Cependant, lorsque le TTL atteint zéro sur le firewall, le paquet ICMP retourné contient l'adresse IP privée, et non l'adresse IP du firewall.

Un attaquant peut ainsi obtenir l'adresse IP des services translatés en PAT.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.