Finjan SurfinGate 6.x und 7.x FHTTP finjan-parameter-type Admin-Kommandos ausführen
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Zusammenfassung
In Finjan SurfinGate 6.0/6.0.1/6.0.5/7.0 wurde eine kritische Schwachstelle ausgemacht. Davon betroffen ist unbekannter Code der Komponente FHTTP. Dank Manipulation des Arguments finjan-parameter-type mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2004-2107 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, eine restriktive Firewall-Konfiguration zu implementieren.
Details
Finjan SurfinGate ist eine kommerzielle Lösung für das Filtern von aktiven Inhalten (z.B. ActiveX, Java und Scripting) aus dem Internet. Die Proxy-Lösung ist sowohl für Windows als auch Solaris verfügbar. Wird das Application Gateway im Proxy-Modus betrieben, kann ein Angreifer über spezielle Kommandos mit dem Proxy-Port das System steuern. Dazu ist die Verbindungsaufnahme mittels dem proprietären FHTTP, eine Abwandlung des klassischen HTTP, nötig. Als Standard-Port dient vorzugsweise tcp/3141. Durch das Übergeben der Zeile finjan-parameter-type in der Anfrage kann der Server zu bestimmten Aktionen veranlagt werden. Möglich ist so zum Beispiel der Neustart des Systems oder das Einsehen der Log-Dateien. Laut Posting auf Bugtraq ist der Fehler dem Hersteller schon seit über einem Jahr bekannt. Getan wurde jedoch nichts. Als Workaround wird empfohlen den Zugriff auf das Finjan SurfinGate mittels Firewalling einzuschränken und durch ein Application Gateway verdächtige Zugriffe abzublocken. Dies kann zudem auch mit der SurfinGate-Policy selbst auf 127.0.0.1 und localhost gemacht werden. Zudem empfiehlt sich, den Standard-Port zu wechseln, um ein Scannen und Auswertung durch einen Angreifer zu erschweren. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (14934), Exploit-DB (23585), Tenable (12036), SecurityFocus (BID 9478†) und OSVDB (3718†) dokumentiert. Zusätzliche Informationen finden sich unter securityfocus.com. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Für den Vulnerability Scanner Nessus wurde am 02.02.2004 ein Plugin mit der ID 12036 (Finjan SurfinGate Proxy FHTTP Command Admin Functions Authentication Bypass) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Firewalls zugeordnet und im Kontext r ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 62037 (Finjan SurfinGate FHTTP Restart Command Execution Vulnerability) zur Prüfung der Schwachstelle an.
Es scheint, als könne Finjan das Problem nicht beheben, da es fester Bestandteil der Funktionsweise des Produkts ist. Dies ist sehr tragisch, denn ganz offensichtlich handelt es sich hier um einen schwerwiegenden Designfehler, der die Sicherheit des gesamten Produkts untergräbt. So ist nun fragwürdig, ob Finjan überhaupt weiss, was sie da tun. Zwar existieren Workarounds, doch ist es kein annehmbarer Zustand, dass eine Sicherheitslösung ohne diese nach Belieben ferngesteuert werden kann.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 5.9
VulDB Base Score: 6.5
VulDB Temp Score: 5.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache AuthentisierungCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 12036
Nessus Name: Finjan SurfinGate Proxy FHTTP Command Admin Functions Authentication Bypass
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Patch: securityfocus.com
Timeline
23.01.2004 🔍23.01.2004 🔍
26.01.2004 🔍
27.01.2004 🔍
02.02.2004 🔍
11.02.2004 🔍
31.12.2004 🔍
27.05.2005 🔍
06.07.2025 🔍
Quellen
Advisory: securityfocus.com⛔Person: David Byrne
Status: Bestätigt
CVE: CVE-2004-2107 (🔍)
GCVE (CVE): GCVE-0-2004-2107
GCVE (VulDB): GCVE-100-490
X-Force: 14934 - Finjan SurfinGate execute commands in proxy mode, High Risk
SecurityFocus: 9478
Secunia: 10714 - FinJan SurfinGate Proxy Access to Admin Functions, Moderately Critical
OSVDB: 3718 - Finjan SurfinGate Proxy FHTTP Command Admin Functions Authentication Bypass
Vulnerability Center: 3698 - Finjan Proxy Allows Command Execution, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Eintrag
Erstellt: 26.01.2004 10:14Aktualisierung: 06.07.2025 08:18
Anpassungen: 26.01.2004 10:14 (55), 07.06.2017 16:02 (28), 09.03.2021 10:34 (2), 21.12.2024 19:34 (27), 06.07.2025 08:18 (3)
Komplett: 🔍
Cache ID: 216:283:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.