Bulletin de sécurité
Transcription
Bulletin de sécurité
BULLETIN DE SECURITE STORM-2014-003 Vulnérabilité OpenSSL Date de découverte Révision du bulletin Gravité Impact Niveau de compétence de l’attaquant Provenance de l’attaque Popularité 16 Octobre 2014 1.0 Moyenne Déni de service Bas Internet et réseau local Moyenne Introduction Une vulnérabilité (CVE-2014-3567) a été découverte dans l'outil OpenSSL. La vulnérabilité est présente dans la gestion des tickets de session. La fuite mémoire due à cette vulnérabilité peut conduire à des attaques par déni de service. Il est à noter que nos produits ne sont pas impactés par les autres vulnérabilités concernant OpenSSL (CVE-2014-3513, CVE-2014-3568). Produits impactés • • • • • • Agent Active Directory: le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Arkoon Fast360 : le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Arkoon Management Center : le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Netasq : le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Stormshield Endpoint Security : le produit est impacté par le CVE-2014-3567. Un correctif sera intégré dans la prochaine mise à jour prévue en janvier 2015. Stormshield Network Security : le produit est impacté par le CVE-2014-3567. Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Veuillez vous référer aux pages ci-dessous pour une vue détaillée de la vulnérabilité sur l'ensemble des produits impactés. Produits non impactés • • Page 1 /14 Arkoon Control Center : le produit n'utilise pas OpenSSL. Netasq Centralized Management : la version d’OpenSSL fournie avec Redhat Enterprise Linux 5 n’est pas impactée par le CVE-2014-3567. STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 • • • • • • • • Netasq Event Analyzer : le produit n'utilise pas OpenSSL. Netasq Global Admin : le produit n'est pas utilisé en tant que serveur SSL. Netasq Realtime Monitor : le produit n'est pas utilisé en tant que serveur SSL. Netasq Reporter : le produit n'est pas utilisé en tant que serveur SSL. Netasq SSLVPN Client : le produit n'est pas utilisé en tant que serveur SSL. Stormshield Data Security: le produit n'utilise pas OpenSSL. Stormshield Network Centralized Management : la version d’OpenSSL fournie avec Redhat Enterprise Linux 5 n’est pas impactée par le CVE-20143567. Stormshield Network Event Analyzer : le produit n'utilise pas OpenSSL. Si vous rencontrez des problèmes, n'hésitez pas à contacter le support Stormshield à l'adresse suivante : http://www.stormshield.eu/acces-clients/. Merci de votre collaboration. Équipe sécurité [email protected] Révisions • Page 2 /14 v1.0 (23/10/2014) : publication initiale STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Vulnérabilité d’Agent Active Directory Gravité Impact Niveau de compétence de l’attaquant Provenance de l’attaque Popularité Versions concernées Moyenne Déni de service Bas Réseau d'administration Haute 1.0.0 à 1.1.0 Description La fuite mémoire présente dans la gestion des tickets de session d'OpenSSL peut permettre à un attaquant de provoquer un déni de service sur le serveur hébergeant l'application Agent Active Directory (AAD). Sévérité L’exploitation de cette faille pourrait permettre à un attaquant d'opérer un déni de service sur le serveur de l'AAD. Gravité Le niveau de gravité de cette vulnérabilité a été classé moyen pour la raison suivante : • Source de l'attaque limitée à des réseaux maîtrisés. Solution de contournement Il est conseillé de protéger le serveur par un firewall restreignant les sources des connexions vers ce service. Versions impactées • Page 3 /14 ADD 1.0.0 à 1.1.0 STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 4 /14 STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Vulnérabilité d’Arkoon Fast360 Gravité Impact Niveau de compétence de l’attaquant Provenance de l’attaque Popularité Versions concernées Moyenne Déni de service Bas Réseau d’administration Réseau client Akauth Moyenne 5.0/16 à 5.0/32 6.0/1 à 6.0/6 Description La fuite mémoire présente dans la gestion des tickets de session d'OpenSSL peut permettre à un attaquant de provoquer un déni de service sur l'appliance Fast360. Pour ce faire, l'attaquant doit exploiter la faille sur les composants suivants de l'appliance Fast360 : • • Administration. Dans ce cas, l'attaque est réalisable depuis le réseau spécifié dans le champ ‘Admin from’ lors de la configuration de l'appliance. Akauth. Dans le cas où Akauth est activé sur l'appliance, l'attaque peut être conduite à partir des réseaux ou des hôtes configurés comme source dans des règles de flux utilisant Akauth. Impact L’exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur l'appliance Fast360. Ce déni de service se traduit par un redémarrage de l'appliance pour les versions supérieures ou égales à : • • 5.0/29 6.0/1 Sur des versions inférieures, le déni de service se traduit par l'arrêt de certains services de façon aléatoire. Gravité Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes : • Page 5 /14 Source de l'attaque limitée à des réseaux maîtrisés. STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 • Redémarrage de l'appliance en cas de déni de service. Solution de contournement Afin de limiter la portée de l'attaque, il est recommandé de restreindre l'accès aux réseaux spécifiés dans ‘Admin from’ et aux réseaux utilisés dans des règles de flux activant Akauth. Versions impactées • • Arkoon Fast360 5.0/16 à 5.0/32 Arkoon Fast360 6.0/1 à 6.0/6 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 6 /14 STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Vulnérabilité d’Arkoon Management Center Gravité Impact Niveau de compétence de l’attaquant Provenance de l’attaque Popularité Versions concernées Moyenne Déni de service Bas Internet et réseau local Moyenne 5.0/16 à 5.0/32 6.0/1 à 6.0/6 Description La fuite mémoire présente dans la gestion des tickets de session d'OpenSSL peut permettre à un attaquant de provoquer un déni de service sur le serveur hébergeant l'Arkoon Management Center (AMC). Impact L’exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur le serveur AMC. Le déni de service aura pour conséquence le redémarrage du serveur s'il dispose d'un OOM (Out Of Memory Killer) ou d'une indisponibilité totale du serveur dans le cas contraire. Gravité Le niveau de gravité de cette vulnérabilité a été classé moyen pour la raison suivante : • L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de service. Solution de contournement Il est conseillé de protéger le serveur par un firewall restreignant les sources des connexions vers ce service. De plus il conseillé de vérifier qu'un OOM est disponible sur le serveur AMC. Versions impactées • • Page 7 /14 AMC 5.0/16 to 5.0/32 AMC 6.0/1 to 6.0/6 STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 8 /14 STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Vulnérabilité de Netasq Gravité Impact Niveau de compétence de l’attaquant Provenance de l’attaque Popularité Versions concernées Moyenne Déni de service Bas Internet et réseau local Moyenne 9.0.0 à 9.1.3 Description La fuite mémoire présente dans la gestion des tickets de session d'OpenSSL peut permettre à un attaquant de provoquer un déni de service sur l'appliance NETASQ. Pour ce faire, l'attaquant doit utiliser la faille sur l'un des composants suivants de l'appliance NETASQ : • • Portail d'authentification et d'administration. Proxy SSL. L'attaque est réalisable dès qu'un de ces deux services est disponible sur le réseau de l'attaquant. Impact L’exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur l'appliance NETASQ. Ce déni de service se traduit par un ralentissement des performances globales de l'appliance puis un redémarrage du service attaqué. Gravité Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes : • • • Page 9 /14 L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de service. Le déni de service est temporaire. Le déni de service mène à un ralentissement de l'appliance et à un redémarrage des services ‘sld’ et ‘tproxyd’ de manière inopinée. STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Workaround solution Il est recommander de désactiver les règles de filtrage implicites sur les services d'authentification, de webadmin et de vpn SSL, puis de les remplacer par un filtrage plus strict sur la source des connections. Impacted versions • 9.0.0 to 9.1.3 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 10 /14 STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Vulnérabilité de Stormshield Endpoint Security Gravité Impact Niveau de compétence de l’attaquant Provenance de l’attaque Popularité Versions concernées Moyenne Déni de service Bas Internet et réseau local Moyenne SES v6.0.15 SES v7.1.02 Description Stormshield Endpoint Security (SES) est impacté par la vulnérabilité OpenSSL ‘Fuite mémoire via Session Ticket’ (CVE-2014-3567). L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de provoquer un déni de service sur le serveur Apache faisant partie d’un serveur Stormshield Endpoint Security. L’exploitation de cette vulnérabilité pourrait également permettre à un attaquant de provoquer un déni de service sur le processus framework.exe (sur un agent ou sur un serveur). Stormshield Endpoint Security est configuré pour redémarrer automatiquement ces processus en cas d’arrêt inopiné, limitant ainsi le temps d’indisponibilité. L’arrêt temporaire du processus Apache sur un serveur peut retarder l’enregistrement d’agents nouvellement installés. L’arrêt temporaire du processus framework.exe sur un serveur peut retarder l’envoi des logs ainsi que la récupération d’une nouvelle version de la politique de sécurité par un agent. L’arrêt temporaire du processus framework.exe sur un agent n’a pas d’impact au niveau de la sécurité du poste : la politique de sécurité reste appliquée pendant le temps où le processus framework.exe est indisponible. Impact L’exploitation de cette vulnérabilité pourrait permettre à un attaquant de retarder l’application d’une nouvelle politique de sécurité ou d’envoyer des logs depuis un agent. Page 11 /14 STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Gravité Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes: • • L’indisponibilité des serveurs est de courte durée. Les agents restent protégés. Solution de contournement A ce jour, il n’y a pas de solution de contournement disponible. Versions impactées • • SES v6.0.15 SES v7.1.02 Solution À ce jour, il n’y a pas de version corrective de Stormshield Endpoint Security. Les mises à jour 6.0.17 et 7.1.04 intégrant une correction pour cette vulnérabilité sont prévues pour janvier 2015. Page 12 /14 STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Vulnérabilité de Stormshield Network Security Gravité Impact Niveau de compétence de l’attaquant Provenance de l’attaque Popularité Versions concernées Moyenne Déni de service Bas Internet et réseau local Moyenne 1.0.0 à 1.1.3 Description La fuite mémoire présente dans la gestion des tickets de session d'OpenSSL peut permettre à un attaquant de provoquer un déni de service sur l'appliance Stormshield Network Security (SNS). Pour ce faire, l'attaquant doit utiliser la faille sur l'un des composants suivants de l'appliance SNS : • • Portail d'authentification et d'administration. Proxy SSL. L'attaque est réalisable dès qu'un de ces deux services est disponible sur le réseau de l'attaquant. Impact L’exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur l'appliance SNS. Ce déni de service se traduit par un ralentissement des performances globales de l'appliance puis un redémarrage du service attaqué. Gravité Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes : • • • Page 13 /14 L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de service. Le déni de service est temporaire. Le déni de service mène à un ralentissement de l'appliance et à un redémarrage des services ‘sld’ et ‘tproxyd’ de manière inopinée. STORM-2014-003 BULLETIN DE SECURITE STORM-2014-003 Solution de contournement Il est recommandé de désactiver les règles de filtrage implicites sur les services d'authentification, de webadmin et de vpn SSL, puis de les remplacer par un filtrage plus strict sur la source des connections. Versions impactées • SNS 1.0.0 à 1.1.3 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 14 /14 STORM-2014-003