ModSecurity bis 3.0.4 Denial of Service ⚔ [Infragegestellt]
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.6 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in ModSecurity 3.0.0/3.0.1/3.0.2/3.0.3/3.0.4 entdeckt. Es betrifft eine unbekannte Funktion. Dank der Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2020-15598 gelistet. Der Angriff kann remote ausgeführt werden. Ferner existiert ein Exploit. Bisher konnte die Existenz der vermeintlichen Schwachstelle noch nicht eindeutig nachgewiesen werden. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
Eine Schwachstelle wurde in ModSecurity 3.0.0/3.0.1/3.0.2/3.0.3/3.0.4 ausgemacht. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Verarbeitung. Dank Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-400. Dies hat Einfluss auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Trustwave ModSecurity 3.x through 3.0.4 allows denial of service via a special request. NOTE: The discoverer reports "Trustwave has signaled they are disputing our claims." The CVE suggests that there is a security issue with how ModSecurity handles regular expressions that can result in a Denial of Service condition. The vendor does not consider this as a security issue because1) there is no default configuration issue here. An attacker would need to know that a rule using a potentially problematic regular expression was in place, 2) the attacker would need to know the basic nature of the regular expression itself to exploit any resource issues. It's well known that regular expression usage can be taxing on system resources regardless of the use case. It is up to the administrator to decide on when it is appropriate to trade resources for potential security benefitDie Schwachstelle wurde am 14.09.2020 durch Ervin Hegedüs in Form eines bestätigten Mailinglist Posts (Full-Disclosure) herausgegeben. Bereitgestellt wird das Advisory unter seclists.org. Eine Veröffentlichung wurde in Zusammenarbeit mit dem Projektteam angestrebt. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2020-15598 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1499 aus. Der folgende Code ist die Ursache des Problems:
do { rc = pcre_exec(m_pc, …) … } while (rc > 0)Ein privater Exploit wurde durch Ervin Hegedüs umgesetzt. Er wird als proof-of-concept gehandelt. Es dauerte mindestens 91 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Bisher konnte die Existenz der vermeintlichen Schwachstelle noch nicht eindeutig nachgewiesen werden.
Die Schwachstelle lässt sich durch das Einspielen des Patches cve-2020-15598.patch lösen. Dieser kann von gist.githubusercontent.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben so unmittelbar gehandelt.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Produkt
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.8VulDB Meta Temp Score: 6.6
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
Person Base Score: 7.5
Person Vector: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-400 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: Privat
Status: Proof-of-Concept
Autor: Ervin Hegedüs
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: cve-2020-15598.patch
Timeline
15.06.2020 🔍14.09.2020 🔍
14.09.2020 🔍
21.09.2020 🔍
04.08.2024 🔍
Quellen
Advisory: seclists.orgPerson: Ervin Hegedüs
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
Infragegestellt: 🔍
CVE: CVE-2020-15598 (🔍)
GCVE (CVE): GCVE-0-2020-15598
GCVE (VulDB): GCVE-100-161657
scip Labs: https://www.scip.ch/?labs.20130913
Eintrag
Erstellt: 21.09.2020 08:51Aktualisierung: 04.08.2024 18:07
Anpassungen: 21.09.2020 08:51 (59), 21.09.2020 08:56 (2), 06.10.2020 20:51 (1), 04.08.2024 18:07 (35)
Komplett: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.