Der Sicherheitsdienstleister Rigel Kent Security hat in Symantecs Enterprise Firewall/VPN Appliance und den Gateway-Security-Produkten mehrere Sicherheitslücken in der Default-Konfiguration entdeckt, die Symantec selbst als "high-risk" einstuft.
Die Firewall/VPN-Appliance lässt sich mit einem schnellen UDP-Scan auf dem WAN-Interface über alle Ports (1 - 65535) zum Stillstand bringen. In der Folge reagiert das Gerät nicht mehr und lässt sich nur noch durch einen Neustart wieder beleben.
Mit einem UDP-Port-Scan von Quellport 53 auf die WAN-Schnittstelle kann ein Angreifer die Filterregeln aller genannten Produkte austricksen. So offenbart das Zielsystem beispielsweise die darauf laufenden Dienste tftpd, snmpd und isakmp. Alle anderen Ports sind geschlossen. Unglücklicherweise ist insbesondere der SNMP-Dienst verwundbar. Die Lese- und Schreib-Community-Strings sind standardmäßig auf "public" gesetzt und lassen sich laut Advisory nicht ändern. Sendet ein Angreifer UDP-Pakete mit Quellport 53 an den SNMP-Server eines verwundbaren Systems, so ist er in der Lage, Teile der Konfiguration zu lesen und zu ändern.
Betroffen sind die Symantec Enterprise Firewall/VPN Appliances 100, 200, 200R vor Version 1.63 und Symantec Gateway Security 320, 360, 360R vor Version 622. Symantec hat die fehlerbereinigten Versionen für seine Kunden bereits zur Verfügung gestellt.
Quelle :
www.heise.de
