Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Dangers des outils d'administration des plates-formes IPSO de Nokia

Date :22 Juin 2005

Publication: Article

Les "appliances" IPSO de Nokia sont des boites noires hébergeant un système d'exploitation sécurisé et des applications destinées à la sécurité des réseaux (garde-barrière FW-1, VPN, IDS).

L'outil "Nokia Network Voyager" est un composant web sécurisé (SSL) qui permet l'administration des plates-formes Nokia IPSO à partir d'un client web.

Une vulnérabilité a été récemment découverte dans cet outil. Elle permet à une personne malveillante, à travers l'envoi d'une requête HTTP spécifique vers "Nokia Network Voyager" (et notamment vers le script TCL : http://[nokia_appliance]/cgi-bin/httpdaccesslog.tcl), de faire exécuter des scripts malicieux sur l'"appliance", scripts pouvant entraîner la création/modification des comptes utilisateurs ou la modification des états des services d'IPSO. Il est cependant à noter que ces scripts ne seront pas exécutés en temps réel. Ainsi, il faudra une action de l'administrateur de l'"appliance" qui, en visualisant les journaux de l'application à travers un client web, fera exécuter ces scripts.

Pour pouvoir utiliser cette vulnérabilité il faut donc :

  • Un accès réseau de type HTTP sur une interface d'un garde-barrière ("appliance" Nokia)
  • Une action de l'administrateur (lecture des journaux) dans un second temps

La conjonction de ces conditions rend de notre point de vue le problème moins critique. C'est pour cela que le Cert-IST n'a pas émis d'avis sur le sujet et a préféré lui consacrer un article dans son bulletin de sécurité mensuel.

Solutions :

Nokia a mis à disposition des correctifs pour les plates-formes IPSO :

  • IPSO v3.7 Build31
  • IPSO v3.6 FCS13
  • IPSO v3.5.1 FCS10
  • IPSO v3.5 FCS22

De même, un guide de sécurisation de l'outil "Nokia Network Voyager" a été publié (Cf. "Pour plus d'information").

Pour plus d'information :