Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Défaut de configuration des sondes ISS Real Secure pour Nokia

Date :06 Juillet 2005

Publication: Article

Au cours du mois de février, il a été signalé une erreur dans la configuration par défaut des sondes ISS RealSecure (détecteur d'intrusions - IDS), pour les versions 6.0 fournies pour les équipements Nokia.

Le problème constaté est qu'un compte de test (utilisé au moment de la validation du produit) est présent dans une des distributions de la sonde RealSecure pour Nokia (il s'agit de la distribution 6.0.2001.141). ISS a corrigé le problème dès qu'il en a eu connaissance (distributions 6.0.2001.141d et suivantes).

Potentiellement, cette erreur de "packaging" pourrait permettre à une personne disposant d'une console RealSecure de se connecter à une sonde Nokia vulnérable en utilisant ce compte de test. Les privilèges de ce compte lui permettraient alors de reconfigurer la sonde. Cependant, l'utilisation de ce compte nécessite que la clef publique de l'utilisateur menant l'attaque ait préalablement été déposée sur la sonde Nokia. Selon ISS, le dépôt de clef n'est possible à distance qu'à la première connexion à la sonde (c'est une facilité prévue par ISS pour rendre le déploiement plus aisé). Le compte de test déclaré est donc en fait inutilisable si l'attaquant ne dispose pas d'un autre moyen pour y déposer sa clef (par exemple, un accès physique en tant qu'administrateur).

Dans la mesure où la vulnérabilité ne semble pas exploitable, le Cert-IST n'a pas émis d'avis sur ce problème. Par mesure de précaution, ISS recommande de supprimer la ligne décrivant ce compte de test dans fichier " iss.access" des sondes Nokia :

[\Roles\KeyAdministrator\starscream_skank\];

Pour plus d'information :