Date de découverte 16 Octobre 2014 Révision du bulletin 1.0

Transcription

1 Vulnérabilité OpenSSL Date de découverte 16 Octobre 2014 Révision du bulletin 1.0 Déni de service Niveau de compétence de l attaquant Bas Provenance de l attaque Internet et réseau local Popularité Introduction Une vulnérabilité (CVE ) a été découverte dans l'outil OpenSSL. La vulnérabilité est présente dans la gestion des tickets de session. La fuite mémoire due à cette vulnérabilité peut conduire à des attaques par déni de service. Il est à noter que nos produits ne sont pas impactés par les autres vulnérabilités concernant OpenSSL (CVE , CVE ). Produits impactés Agent Active Directory: le produit est impacté par le CVE Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Arkoon Fast360 : le produit est impacté par le CVE Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Arkoon Management Center : le produit est impacté par le CVE Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Netasq : le produit est impacté par le CVE Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Stormshield Endpoint Security : le produit est impacté par le CVE Un correctif sera intégré dans la prochaine mise à jour prévue en janvier Stormshield Network Security : le produit est impacté par le CVE Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Veuillez vous référer aux pages ci-dessous pour une vue détaillée de la vulnérabilité sur l'ensemble des produits impactés. Produits non impactés Arkoon Control Center : le produit n'utilise pas OpenSSL. Netasq Centralized Management : la version d OpenSSL fournie avec Redhat Enterprise Linux 5 n est pas impactée par le CVE Page 1 /14

2 Netasq Event Analyzer : le produit n'utilise pas OpenSSL. Netasq Global Admin : le produit n'est pas utilisé en tant que serveur SSL. Netasq Realtime Monitor : le produit n'est pas utilisé en tant que serveur SSL. Netasq Reporter : le produit n'est pas utilisé en tant que serveur SSL. Netasq SSLVPN Client : le produit n'est pas utilisé en tant que serveur SSL. Stormshield Data Security: le produit n'utilise pas OpenSSL. Stormshield Network Centralized Management : la version d OpenSSL fournie avec Redhat Enterprise Linux 5 n est pas impactée par le CVE Stormshield Network Event Analyzer : le produit n'utilise pas OpenSSL. Si vous rencontrez des problèmes, n'hésitez pas à contacter le support Stormshield à l'adresse suivante : Merci de votre collaboration. Révisions v1.0 (23/10/2014) : publication initiale Équipe sécurité security@stormshield.eu Page 2 /14

3 Vulnérabilité d Agent Active Directory Déni de service Niveau de compétence de l attaquant Bas Provenance de l attaque Réseau d'administration Popularité Haute Versions concernées à Description La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur le serveur hébergeant l'application Agent Active Directory (AAD). Sévérité L exploitation de cette faille pourrait permettre à un attaquant d'opérer un déni de service sur le serveur de l'aad. Le niveau de gravité de cette vulnérabilité a été classé moyen pour la raison suivante : Source de l'attaque limitée à des réseaux maîtrisés. Solution de contournement Il est conseillé de protéger le serveur par un firewall restreignant les sources des connexions vers ce service. Versions impactées ADD à Page 3 /14

4 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 4 /14

5 Vulnérabilité d Arkoon Fast360 Niveau de compétence de l attaquant Provenance de l attaque Popularité Versions concernées Description Déni de service Bas Réseau d administration Réseau client Akauth 5.0/16 à 5.0/32 6.0/1 à 6.0/6 La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur l'appliance Fast360. Pour ce faire, l'attaquant doit exploiter la faille sur les composants suivants de l'appliance Fast360 : Administration. Dans ce cas, l'attaque est réalisable depuis le réseau spécifié dans le champ Admin from lors de la configuration de l'appliance. Akauth. Dans le cas où Akauth est activé sur l'appliance, l'attaque peut être conduite à partir des réseaux ou des hôtes configurés comme source dans des règles de flux utilisant Akauth. L exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur l'appliance Fast360. Ce déni de service se traduit par un redémarrage de l'appliance pour les versions supérieures ou égales à : 5.0/29 6.0/1 Sur des versions inférieures, le déni de service se traduit par l'arrêt de certains services de façon aléatoire. Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes : Source de l'attaque limitée à des réseaux maîtrisés. Page 5 /14

6 Redémarrage de l'appliance en cas de déni de service. Solution de contournement Afin de limiter la portée de l'attaque, il est recommandé de restreindre l'accès aux réseaux spécifiés dans Admin from et aux réseaux utilisés dans des règles de flux activant Akauth. Versions impactées Arkoon Fast /16 à 5.0/32 Arkoon Fast /1 à 6.0/6 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 6 /14

7 Vulnérabilité d Arkoon Management Center BULLETIN DE SECURITE Niveau de compétence de l attaquant Provenance de l attaque Popularité Versions concernées Description Déni de service Bas Internet et réseau local 5.0/16 à 5.0/32 6.0/1 à 6.0/6 La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur le serveur hébergeant l'arkoon Management Center (AMC). L exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur le serveur AMC. Le déni de service aura pour conséquence le redémarrage du serveur s'il dispose d'un OOM (Out Of Memory Killer) ou d'une indisponibilité totale du serveur dans le cas contraire. Le niveau de gravité de cette vulnérabilité a été classé moyen pour la raison suivante : L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de service. Solution de contournement Il est conseillé de protéger le serveur par un firewall restreignant les sources des connexions vers ce service. De plus il conseillé de vérifier qu'un OOM est disponible sur le serveur AMC. Versions impactées AMC 5.0/16 to 5.0/32 AMC 6.0/1 to 6.0/6 Page 7 /14

8 Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 8 /14

9 Vulnérabilité de Netasq Déni de service Niveau de compétence de l attaquant Bas Provenance de l attaque Internet et réseau local Popularité Versions concernées à Description La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur l'appliance NETASQ. Pour ce faire, l'attaquant doit utiliser la faille sur l'un des composants suivants de l'appliance NETASQ : Portail d'authentification et d'administration. Proxy SSL. L'attaque est réalisable dès qu'un de ces deux services est disponible sur le réseau de l'attaquant. L exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur l'appliance NETASQ. Ce déni de service se traduit par un ralentissement des performances globales de l'appliance puis un redémarrage du service attaqué. Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes : L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de service. Le déni de service est temporaire. Le déni de service mène à un ralentissement de l'appliance et à un redémarrage des services sld et tproxyd de manière inopinée. Page 9 /14

10 Workaround solution Il est recommander de désactiver les règles de filtrage implicites sur les services d'authentification, de webadmin et de vpn SSL, puis de les remplacer par un filtrage plus strict sur la source des connections. ed versions to Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 10 /14

11 Vulnérabilité de Stormshield Endpoint Security BULLETIN DE SECURITE Niveau de compétence de l attaquant Provenance de l attaque Popularité Versions concernées Description Déni de service Bas Internet et réseau local SES v SES v Stormshield Endpoint Security (SES) est impacté par la vulnérabilité OpenSSL Fuite mémoire via Session Ticket (CVE ). L exploitation de cette vulnérabilité pourrait permettre à un attaquant de provoquer un déni de service sur le serveur Apache faisant partie d un serveur Stormshield Endpoint Security. L exploitation de cette vulnérabilité pourrait également permettre à un attaquant de provoquer un déni de service sur le processus framework.exe (sur un agent ou sur un serveur). Stormshield Endpoint Security est configuré pour redémarrer automatiquement ces processus en cas d arrêt inopiné, limitant ainsi le temps d indisponibilité. L arrêt temporaire du processus Apache sur un serveur peut retarder l enregistrement d agents nouvellement installés. L arrêt temporaire du processus framework.exe sur un serveur peut retarder l envoi des logs ainsi que la récupération d une nouvelle version de la politique de sécurité par un agent. L arrêt temporaire du processus framework.exe sur un agent n a pas d impact au niveau de la sécurité du poste : la politique de sécurité reste appliquée pendant le temps où le processus framework.exe est indisponible. L exploitation de cette vulnérabilité pourrait permettre à un attaquant de retarder l application d une nouvelle politique de sécurité ou d envoyer des logs depuis un agent. Page 11 /14

12 Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes: L indisponibilité des serveurs est de courte durée. Les agents restent protégés. Solution de contournement A ce jour, il n y a pas de solution de contournement disponible. Versions impactées SES v SES v Solution À ce jour, il n y a pas de version corrective de Stormshield Endpoint Security. Les mises à jour et intégrant une correction pour cette vulnérabilité sont prévues pour janvier Page 12 /14

13 Vulnérabilité de Stormshield Network Security Déni de service Niveau de compétence de l attaquant Bas Provenance de l attaque Internet et réseau local Popularité Versions concernées à Description BULLETIN DE SECURITE La fuite mémoire présente dans la gestion des tickets de session d'openssl peut permettre à un attaquant de provoquer un déni de service sur l'appliance Stormshield Network Security (SNS). Pour ce faire, l'attaquant doit utiliser la faille sur l'un des composants suivants de l'appliance SNS : Portail d'authentification et d'administration. Proxy SSL. L'attaque est réalisable dès qu'un de ces deux services est disponible sur le réseau de l'attaquant. L exploitation de cette faille pourrait permettre à un attaquant de provoquer un déni de service sur l'appliance SNS. Ce déni de service se traduit par un ralentissement des performances globales de l'appliance puis un redémarrage du service attaqué. Le niveau de gravité de cette vulnérabilité a été classé moyen pour les raisons suivantes : L'attaquant a besoin de créer beaucoup de connexions pour provoquer le déni de service. Le déni de service est temporaire. Le déni de service mène à un ralentissement de l'appliance et à un redémarrage des services sld et tproxyd de manière inopinée. Page 13 /14

14 Solution de contournement Il est recommandé de désactiver les règles de filtrage implicites sur les services d'authentification, de webadmin et de vpn SSL, puis de les remplacer par un filtrage plus strict sur la source des connections. Versions impactées SNS à Solution Une nouvelle version du produit contiendra les correctifs de sécurité nécessaires. Page 14 /14