Kerio Personal Firewall Quellport udp/53 Umgehungs-Verwundbarkeit
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.9 | $0-$5k | 0.00 |
Zusammenfassung
In Kerio Personal Firewall 2.1.4 wurde eine problematische Schwachstelle entdeckt. Betroffen hiervon ist ein unbekannter Ablauf. Durch die Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2003-1491 gehandelt. Der Angriff kann remote ausgeführt werden. Desweiteren ist ein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Die von der Firma Kerio entwickelte und frei für Windows erhältliche Personal Firewall wird mit einem Standard-Regelwerk ausgeliefert. Jeglicher ein- und ausgehender Verkehr wird als erstes mit diesen Regeln verglichen. Eine dieser Regeln besagt, dass sämtlicher eingehender Verkehr von UDP-Port 53 (DNS, Nameserver) erlaubt ist. Ein Angreifer kann die Firewall umgehen, indem er bei seinen UDP-Zugriffen jeweils den Quellport auf 53 setzt (z.B. durch die Eingabe von "nmap -P0 -sU -p 12345 192.168.0.1 -g 53"). Unter anderem wird der Fehler auch in den Datenbanken von X-Force (11880), Tenable (11580), SecurityFocus (BID 7436†) und OSVDB (60212†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-451 und VDB-22761. Once again VulDB remains the best source for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 06.05.2003 ein Plugin mit der ID 11580 (Firewall UDP Packet Source Port 53 Ruleset Bypass) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Firewalls zugeordnet, im Kontext r ausgeführt und auf den Port 1026 angewendet.
Praktisch die gleiche Schwachstelle wurde vor einigen Jahren bei einem anderen, sehr populären Software Firewall-Produkt gefunden: ZoneAlarm der Firma ZoneLabs. Damals wie heute muss man sich fragen, wie einfach es sich die Entwickler solcher Lösungen noch machen wollen. Oder sollte man besser fragen, wie einfach sie es den Benutzern machen wollen? Unter allen Umständen soll der Anwender nicht in seinem Tun und Handeln eingeschränkt werden. Da werden Abstriche in Punkto Sicherheit gern in Kauf genommen. Diese Praktik ist sonst schon fragwürdig - Aber besonders bei einem Security-Produkt, gewinnt das Ganze ein bisschen an unfreiwilliger Komik.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: http://kerio.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 4.9
VulDB Base Score: 5.6
VulDB Temp Score: 4.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 11580
Nessus Name: Firewall UDP Packet Source Port 53 Ruleset Bypass
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: kerio.com
Timeline
25.04.2003 🔍25.04.2003 🔍
25.04.2003 🔍
06.05.2003 🔍
31.12.2003 🔍
24.10.2007 🔍
18.11.2009 🔍
08.03.2021 🔍
Quellen
Hersteller: kerio.comAdvisory: securiteam.com⛔
Person: David F. Madrid
Status: Nicht definiert
CVE: CVE-2003-1491 (🔍)
GCVE (CVE): GCVE-0-2003-1491
GCVE (VulDB): GCVE-100-44
X-Force: 11880 - Kerio Personal Firewall (KPF) UDP packet could allow an attacker to bypass the firewall, Medium Risk
SecurityFocus: 7436 - Kerio Personal Firewall Firewall Filter Bypass Vulnerability
OSVDB: 60212 - Kerio Personal Firewall Default DNS Rule Restriction Bypass
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 25.04.2003 02:00Aktualisierung: 08.03.2021 08:57
Anpassungen: 25.04.2003 02:00 (77), 11.01.2019 11:57 (2), 08.03.2021 08:57 (2)
Komplett: 🔍
Cache ID: 216:974:103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.