heise PlusAbo
Anzeige

Buffer Overflow in Checkpoints VPN-Gateways und -Clients [Update]

Buffer Overflows im VPN-Gateway VPN-1 und den Clients SecuRemote sowie SecureClient ermöglichen das Einschleusen und Ausführen von beliebigem Code.

vorlesen Druckansicht 58 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die Sicherheitsspezialisten X-Force des Herstellers Internet Security Systems ISS haben einen Buffer Overflow im weit verbreiteten VPN-Gateway VPN-1 von Checkpoint entdeckt, mit dem ein Angreifer die Kontrolle über das System erlangen kann. Der Fehler ist ebenfalls in den dazugehörigen Clients SecuRemote und SecureClient zu finden.

Die Schwachstelle beruht auf der fehlerhaften Behandlung zu großer Zertifikatsanfragen in IKE/ISAKMP-Paketen während des Aufbaus einer geschützten Verbindung. IKE dient zum Aushandeln der Sicherheitsparameter und der Schlüssel für Virtual Private Networks. Durch einen ungeprüften Puffer kann ein Angreifer mit einem manipulierten IKE-Paket den Stack des Systems mit eigenem Code überschreiben und im Kontext des System ausführen, also entweder als root oder System. Da der Fehler bereits in der Initalisierungsphase auftritt, ist keinerlei Authentifizierung erforderlich. Nach Angaben von X-Force funktioniert der Angriff sogar mit gefälschten Absenderadressen, da keine weitere Interaktion mit dem Gateway nötig sei. X-Force hat bereits einen funktionierenden Exploit entwickelt.

Betroffen sind Checkpoint VPN-1 Server 4.1 bis einschließlich SP6 mit OpenSSL Hotfix und SecuRemote/SecureClient 4.1 bis einschließlich build 4200. Laut dem Advisory von X-Force unterstützt Checkpoint diese Versionen nicht mehr, weshalb auch kein Patch zur Verfügung gestellt wird. Einen Workaround gibt es nicht, Checkpoint hat auch kein eigenes Advisory zu dem Problem veröffentlicht und empfiehlt stattdessen auf VPN-1 NG zu wechseln. Immerhin hält ISS für seine Proventia Security-Appliances Patches bereit.

[Update]
Checkpoint hat mit einem eigenen Advisory reagiert, das explizit VPN-1/FireWall-1 4.1 SP6 und VPN-1/FireWall-1 Next Generation FP2 (und spätere) von der möglichen Verwundbarkeit ausschließt. Betroffenen Anwendern empfiehlt der Hersteller ein Upgrade auf NG with Application Intelligence R55.

Siehe dazu auch:

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten