Trend Micro OfficeScan 11.0/12.0 fcgiOfcDDA.exe HTTP Requests Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Es wurde eine problematische Schwachstelle in Trend Micro OfficeScan 11.0/12.0 (Anti-Malware Software) entdeckt. Es geht dabei um ein unbekannter Teil der Datei fcgiOfcDDA.exe. Durch das Manipulieren durch HTTP Requests kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-399 vorgenommen. Mit Auswirkungen muss man rechnen für die Verfügbarkeit. CVE fasst zusammen:
Pre-authorization Start Remote Process vulnerabilities in Trend Micro OfficeScan 11.0 and XG may allow unauthenticated users who can access the OfficeScan server to start the fcgiOfcDDA.exe executable or cause a potential INI corruption, which may cause the server disk space to be consumed with dump files from continuous HTTP requests.Entdeckt wurde das Problem am 28.09.2017. Die Schwachstelle wurde am 06.10.2017 durch John Page (hyp3rlinx) als EDB-ID 42892 in Form eines bestätigten Exploits (Exploit-DB) publik gemacht. Das Advisory kann von exploit-db.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 31.08.2017 unter CVE-2017-14086 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt.
Ein öffentlicher Exploit wurde durch hyp3rlinx umgesetzt und schon vor und nicht nach dem Advisory veröffentlicht. Unter exploit-db.com wird der Exploit zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 19.10.2017 ein Plugin mit der ID 103968 (Trend Micro OfficeScan cgiShowClientAdm Remote Memory Corruption) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext r ausgeführt.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Trend Micro hat vorab reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (103968) und Exploit-DB (42892) dokumentiert. Die Einträge 107529, 107530, 107531 und 107533 sind sehr ähnlich.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.1
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: hyp3rlinx
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 103968
Nessus Name: Trend Micro OfficeScan cgiShowClientAdm Remote Memory Corruption
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 802371
OpenVAS Name: Trend Micro OfficeScan Multiple Vulnerabilities Oct17
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Timeline
31.08.2017 🔍27.09.2017 🔍
28.09.2017 🔍
28.09.2017 🔍
28.09.2017 🔍
28.09.2017 🔍
05.10.2017 🔍
06.10.2017 🔍
06.10.2017 🔍
19.10.2017 🔍
15.01.2021 🔍
Quellen
Hersteller: trendmicro.comAdvisory: EDB-ID 42892
Person: John Page (hyp3rlinx)
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2017-14086 (🔍)
SecurityTracker: 1039500
SecurityFocus: 101076 - TrendMicro OfficeScan Multiple Security Vulnerabilities
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 06.10.2017 10:07Aktualisierung: 15.01.2021 17:22
Anpassungen: 06.10.2017 10:07 (82), 22.11.2019 15:14 (7), 15.01.2021 17:22 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.