Vulnérabilité très ciblée de Firewall-1

Date :07 Juillet 2005

Publication: Article

Checkpoint a publié au début du mois de septembre un avis relatif à une vulnérabilité dans le mécanisme d'authentification du serveur de gestion de VPN-1/Firewall-1 sous Windows 2000 et NT. Le Cert-IST a examiné le problème soulevé, et a décidé, après analyse, de ne pas publier d'avis. Cet article explique en détail le problème décrit dans l'avis de CheckPoint et son impact.

Le garde-barrière Firewall-1 est composé de 2 modules :

  • le module de gestion
  • le module "firewall".

Le module de gestion comprend lui-même :

  • une interface graphique (GUI - Graphical User Interface),
  • un serveur de gestion (Management Server).

L'interface graphique permet de gérer le serveur de gestion à travers ses différentes objets (utilisateurs, ordinateurs, règles de filtrage, ...) tandis que le module "firewall" contient les mécanismes de sécurité du garde-barrière à proprement parler (module "inspection", les serveurs de relayage - proxies, ...).

L'accès au serveur de gestion se fait par l'intermédiaire de l'interface GUI. Cette interface peut être installée en local sur la machine hébergeant le serveur de gestion ou sur une machine distante. Afin de sécuriser cet accès, un mécanisme d'authentification basé sur un identifiant/mot de passe et sur l'adresse réseau de la machine distante est mis en oeuvre à chaque connexion.

Cependant, un débordement de pile a été découvert dans le mécanisme d'authentification des postes GUI distants. Cette vulnérabilité permet à un administrateur de la suite VPN-1/Firewall-1 d'exécuter du code arbitraire sur le serveur de gestion. Cependant, afin d'exploiter cette vulnérabilité, l'attaque doit obligatoirement provenir d'une machine ayant des droits d'administration (contrôle par rapport à l'adresse réseau).

Les conditions d'exploitation de ce problème ne permettent donc pas à un utilisateur quelconque de mettre en péril l'infrastructure Firewall-1 (seul un utilisateur ayant un compte d'administration Firewall-1, et se trouvant sur un poste GUI autorisé, peut la mettre en oeuvre).

C'est à partir de ces éléments que le Cert-IST a décidé de ne pas émettre d'avis sur le sujet. Vous en retrouverez donc simplement la description dans la rubrique " Failles n'ayant pas fait l'objet d'avis " du Bulletin.

Pour plus d'information :

Avis de sécurité de CheckPoint : http://www.checkpoint.com/techsupport/alerts/buffer_overflow.html