Vulnerability ID 5440

Symantec Gateway 5.0/5.0.1/5.0.2 spywall/blocked_file.php Command Injection

Symantec
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
7.0$0-$1k

In Symantec Gateway 5.0/5.0.1/5.0.2, ein Firewall, wurde eine kritische Schwachstelle gefunden. Es geht um eine unbekannte Funktion der Datei spywall/blocked_file.php. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Command Injection-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 17.05.2012 von Zero Day Initiative (ZDI) als SYM12-006 in Form eines bestätigten Knowledge Base Articles (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter symantec.com. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 04.01.2012 mit CVE-2012-0299 vorgenommen. Sie gilt als leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind sowohl technische Details als auch ein privater Exploit zur Schwachstelle bekannt.

Der Exploit wird unter exploit-db.com bereitgestellt. Als 0-Day erzielte der Exploit wohl etwa $10k-$25k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde am 21.05.2012 ein Plugin mit der ID 59210 (Symantec Web Gateway upload_file() Remote Code Execution (SYM12-006) (intrusive check)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet.

Ein Upgrade auf die Version 5.0.3 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Symantec hat offensichtlich sofort reagiert.

Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 53443), X-Force (75730), Secunia (SA49216), SecurityTracker (ID 1027078) und Vulnerability Center (SBV-35190) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 5438, 5439, 5441 und 5621.

CVSSv3

Base Score: 7.3 [?]
Temp Score: 7.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
Temp Score: 6.5 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Command Injection (CWE-264)
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: Privat
Download: exploit-db.com

Aktuelle Preisschätzung: $10k-$25k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 59210
Nessus Name: Symantec Web Gateway upload_file() Remote Code Execution (SYM12-006) (intrusive check)
Nessus File: symantec_web_gateway_sym12-006.nasl
Nessus Family: CGI abuses
MetaSploit ID: symantec_web_gateway_file_upload.rb
MetaSploit File: metasploit-framework/modules/exploits/linux/http/symantec_web_gateway_file_upload.rb
MetaSploit Name: Symantec Web Gateway 5.0.2.8 Arbitrary PHP File Upload Vulnerability

Exploit-DB: 19038

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Gateway 5.0.3
PaloAlto IPS: 34861

Fortigate IPS: 32207

Timeline

04.01.2012 CVE zugewiesen
17.05.2012 +134 Tage Advisory veröffentlicht
17.05.2012 +0 Tage Gegenmassnahme veröffentlicht
17.05.2012 +0 Tage VulnerabilityCenter Eintrag zugewiesen
21.05.2012 +4 Tage NVD veröffentlicht
21.05.2012 +0 Tage OSVDB Eintrag erstellt
21.05.2012 +0 Tage Nessus Plugin veröffentlicht
25.05.2012 +4 Tage VulDB Eintrag erstellt
28.05.2012 +3 Tage VulnerabilityCenter Eintrag erstellt
17.06.2014 +750 Tage VulnerabilityCenter Eintrag aktualisiert
04.08.2015 +413 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: SYM12-006
Firma: Zero Day Initiative (ZDI)
Status: Bestätigt
Bestätigung: symantec.com
Koordiniert: Ja

CVE: CVE-2012-0299 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 53443 - Symantec Web Gateway Management Scripts Arbitrary File Upload Vulnerability
Secunia: 49216 - Symantec Web Gateway Multiple Vulnerabilities, Moderately Critical
X-Force: 75730
SecurityTracker: 1027078 - Symantec Web Gateway Bugs Let Remote Users View/Upload/Delete Files, Execute Arbitrary Commands, and Conduct Cross-Site Scripting Attacks
Vulnerability Center: 35190 - Symantec Web Gateway 5.0.x before 5.0.3 Remote Code Execution Vulnerability, High
OSVDB: 82025 - Symantec Web Gateway spywall/blocked_file.php File Upload Remote Command Execution

Siehe auch: 5438, 5439, 5441 , 5621

Eintrag

Erstellt: 25.05.2012
Aktualisierung: 04.08.2015
Eintrag: 94.9% komplett