Plusieurs vulnérabilités critiques corrigées sur des produits Symantec

Symantec a publié le 28 novembre deux bulletins de sécurité dans lesquels 12 vulnérabilités ont été corrigées. Parmi elles, figurent 3 vulnérabilités critiques, 6 importantes et 3 modérées. Ces vulnérabilités portent sur les produits des gammes Symantec Network Protection, Symantec Endpoint Protection et Norton. L'exploitation des vulnérabilités les plus critiques pourrait permettre ainsi à un attaquant d’exécuter du code à distance ou de réaliser un déni de service. Des attaques de ce type sont peu complexes à mettre en œuvre et ne nécessitent ni privilège ni interaction avec un utilisateur. Leur impact estimé sur la confidentialité, l'intégrité et la disponibilité des données est élevé.

Les deux bulletins portent sur des catégories de vulnérabilités distinctes :

  1. Le premier bulletin décrit plusieurs vulnérabilités sur les versions Linux de certains produits Symantec. Elles sont en l’occurrence toutes liées au noyau Linux sur lequel produits de la gamme Network Protection reposent. Deux vulnérabilités importantes pour ce noyau ont à ce titre déjà été rendues publiques en août dernier. Intitulées FragmentSmack et SegmentSmack, elles affectent tout l'écosystème Linux et portent sur la gestion des paquets réseau. 3 autres vulnérabilités plus anciennes avaient également été rendues publiques dès 2017, dont l'une avec un code d'exploitation en accès libre. Symantec indique que la liste n'est pas exhaustive et que d'autres analyses sont en cours. La liste des produits affectés ou non par ces vulnérabilités est d'ailleurs disponible dans le bulletin Symantec correspondant.
  2. Le second bulletin de vulnérabilité présente des vulnérabilités sur certaine versions de produits Symantec, tout client confondu. Ces vulnérabilités sont cependant de criticité moindre que celles qui figurent dans le premier bulletin. En les exploitant, un attaquant pourrait contourner la politique de sécurité des produits ou de l’exécution de code mais nécessitent un accès physique à la machine pour lequel l'impact sur le système reste faible.

Des correctifs de sécurité ont été publiés par Symantec pour l'ensemble de ces vulnérabilités. Du fait de leur criticité et de la présence de code d'exploitation, les utilisateurs sont invités à mettre à jour les produits le plus rapidement possible.

Détails Techniques : 

Les 3 vulnérabilités les plus critiques ont été listées comme suit : 

  • CVE-2017-13715 [CVSS 9.8] : Une vulnérabilité due à l'utilisation de variables non initialisées dans le noyau Linux. Celle-ci peut être exploitée par l'intermédiaire du protocole MPLS, un protocole réseau visant à augmenter l'efficacité du routage. Grâce à l'envoi d'un paquet MPLS spécifique, il est possible de provoquer un déni de service sur le système et potentiellement une exécution de code arbitraire, bien que cette dernière soit beaucoup plus complexe à mettre en œuvre.
  • CVE-2017-18017 [CVSS 9.8] : Une vulnérabilité liée à une utilisation de la mémoire après sa libération dans le noyau Linux, provoquant sa corruption. La configuration du pare-feu via une règle spécifique iptables pourrait provoquer une erreur de ce type, lorsque la longueur maximale des paquets TCP SYN est modifiée. Cette faille peut être exploitée par l'envoi d'un paquet spécifique à distance. Une attaque de ce type entraînerait un déni de service ou encore l’exécution de code arbitraire même si cette dernière est peu probable dans la mesure où l'attaquant ne possède pas en principe le contrôle sur le dépassement de mémoire.
  • CVE-2018-5703 [CVSS 9.8] : Une vulnérabilité à nouveau liée aux fonctionnalités réseau du noyau Linux, plus spécifiquement dans l'implémentation du protocole TLS. Les conséquences et le vecteur sont les mêmes que les deux vulnérabilités précédentes, à savoir un déni de service via l'envoi d'un paquet spécifique.
Informations
+

Risques

  • Déni de service
  • Exécution de code à distance

Criticité

  • Score CVSS : 9.80

Existence d’un code d’exploitation de la vulnérabilité

  • Un code d'exploitation pour la vulnérabilité référencée CVE-2017-1000251 est disponible publiquement sur GitHub.

Composants & versions vulnérables

  • Produits Symantec de la gamme Norton
  • Produits Symantec de la gamme Network Protection
  • Produits Symantec de la gamme Endpoint Protection

CVE

  • CVE-2017-13715
  • CVE-2017-1000251
  • CVE-2017-18017
  • CVE-2018-5390
  • CVE-2018-5391
  • CVE-2018-5703
  • CVE-2018-1000028
  • CVE-2018-10938
  • CVE-2018-14641
  • CVE-2018-12238
  • CVE-2018-12239
  • CVE-2018-12245

Recommandations
+

Mise en place de correctif de sécurité

  • Des correctifs de sécurité ont été publiés par Symantec pour l'ensemble des vulnérabilités.

Solution de contournement

  • Aucune solution de contournement n'est proposée par l'éditeur.