Symantec pcAnywhere 12.5/12.5.539/12.6.65/12.6.7580 awhost32 schwache Authentisierung

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
9.0$0-$5k0.00

Eine kritische Schwachstelle wurde in Symantec pcAnywhere 12.5/12.5.539/12.6.65/12.6.7580 ausgemacht. Davon betroffen ist eine unbekannte Funktion der Komponente awhost32. Durch Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-287. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

The host-services component in Symantec pcAnywhere 12.5.x through 12.5.3, and IT Management Suite pcAnywhere Solution 7.0 (aka 12.5.x) and 7.1 (aka 12.6.x), does not properly filter login and authentication data, which allows remote attackers to execute arbitrary code via a crafted session on TCP port 5631.

Die Schwachstelle wurde am 24.01.2012 durch Edward Torkington als SYM12-002 in Form eines bestätigten Advisories (Website) veröffentlicht. Das Advisory kann von symantec.com heruntergeladen werden. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet seit dem 14.09.2011 als CVE-2011-3478 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.

Ein öffentlicher Exploit wurde durch S2 Crew entwickelt und 6 Monate nach dem Advisory veröffentlicht. Der Exploit wird unter exploit-db.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Als 0-Day erzielte der Exploit wohl etwa $5k-$25k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 02.02.2012 ein Plugin mit der ID 57796 (Symantec pcAnywhere Multiple Vulnerabilities (SYM12-002)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 119873 (Symantec pcAnywhere Buffer Overflow Vulnerability (SYM12-002)) zur Prüfung der Schwachstelle an.

Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Die Schwachstelle kann zusätzlich durch das Filtern von tcp/5631 mittels Firewalling mitigiert werden. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Symantec hat hiermit sofort reagiert. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 12901 erkannt werden.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (57796) und Exploit-DB (19407) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 4579, 4578 und 4670.

Produktinfo

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 10.0
VulDB Meta Temp Score: 9.0

VulDB Base Score: 10.0
VulDB Temp Score: 9.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Hersteller Base Score (Symantec): 🔍
NVD Base Score: 🔍

Exploitinginfo

Klasse: Schwache Authentisierung
CWE: CWE-287
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: S2 Crew
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 57796
Nessus Name: Symantec pcAnywhere Multiple Vulnerabilities (SYM12-002)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

Saint ID: exploit_info/symantec_pcanywhere_host_services_login
Saint Name: Symantec pcAnywhere Host Services Login Overflow

Qualys ID: 🔍
Qualys Name: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Firewalling: 🔍
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Version: 🔍

ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍

Timelineinfo

14.09.2011 🔍
23.01.2012 +131 Tage 🔍
24.01.2012 +1 Tage 🔍
24.01.2012 +0 Tage 🔍
24.01.2012 +0 Tage 🔍
24.01.2012 +0 Tage 🔍
25.01.2012 +1 Tage 🔍
25.01.2012 +0 Tage 🔍
26.01.2012 +1 Tage 🔍
02.02.2012 +7 Tage 🔍
21.02.2012 +19 Tage 🔍
27.06.2012 +127 Tage 🔍
27.06.2012 +0 Tage 🔍
20.03.2021 +3188 Tage 🔍

Quelleninfo

Hersteller: symantec.com

Advisory: SYM12-002
Person: Edward Torkington
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2011-3478 (🔍)
IAVM: 🔍

SecurityTracker: 1026576 - Symantec pcAnywhere Bugs Let Remote Users Execute Arbitrary Code and Local Users Obtain Elevated Privileges
Vulnerability Center: 34329 - Symantec pcAnywhere 12.5-12.5.3 Remote Code Execution via TCP Port 5631, Critical
SecurityFocus: 51592 - Symantec pcAnywhere Host Services Remote Code Execution Vulnerability
Secunia: 47744 - Symantec pcAnywhere Multiple Vulnerabilities, Highly Critical
OSVDB: 78532

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 21.02.2012 01:00
Aktualisierung: 20.03.2021 15:56
Anpassungen: 21.02.2012 01:00 (94), 07.04.2017 17:53 (13), 20.03.2021 15:52 (4), 20.03.2021 15:56 (1)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you want to use VulDB in your project?

Use the official API to access entries easily!