Symantec brannmurhull sto utettet i ett år

Et hull i Symantecs brannmur var kjent i "visse miljøer" siden i fjor. Først på ettersommeren ble det tettet.

Advanced IT Security sier de informerte Symantec om disse hullene henholdsvis 22. august og 27. august. Symantec bekreftet forholdene, og utarbeidet fikser. Henrik Amundsen Vaage i Symantec Norge viser til at fiksene er lagt ut på Symantecs nettsted. (Du velger "support" på åpningssiden, klikker så på "I am an enterprise user", og velger så det produktet du trenger en fiks til.)

Hullene gjelder brannmur i bedriftsklassen, av typen Symantec Enterprise Firewall (6.5.2 for Windows 2000 og NT, og 7.0 for Solaris, Windows NT og 2000), Raptor Firewall (6.5 for Windows NT, 6.5.3 for Solaris), VelociRaptor (Model 500/700/1000 og Model 1100/1200/1300), og Gateway Security (5110/5200/5300).

Det viktigste hullet er også det som rammer alle disse brannmurene. Det åpner for et tjenestenekt-angrep der en angriper utenfra kan sette proxyserveren ute av spill med kall til domener med ugyldig DNS-server.

- En feil i en komponent i brannmuren gjør at proxyserveren, i stedet for å avsløre det ugyldige domenet, venter i opptil fem minutter før den slipper til neste forespørsel, forklarer Tommy Mikalsen i Advanced IT Security til digi.no. - Det innebærer at du kan sette hele tjenesten ute av spill ved å sende serier med forespørsler til domener med ugyldige DNS-servere. Tilfeldigvis så er denne samme komponenten brukt i hele 14 varianter av Symantecs brannmur.

Det andre hullet gjelder en feil i den samme komponenten, og rettes av samme patch. Advanced IT Security omtaler det som en informasjonslekkasje - "information leak" - mens Symantec bruker betegnelsen "memory leak".

- Det gjør det mulig for folk på utsiden å systematisk kartlegge alle nettverksnodene på innsiden av brannmuren, sier Mikalsen. - Innbitte hackere vil kunne bruke dette kartet til å finne svake punkter på innsiden, og de vil ikke ha problemer med å forsere brannmuren.

Begge hullene er nå fikset. Hvis du bruker en av disse brannmurene, og ennå ikke er personlig varslet av Symantec, bør du absolutt sjekke ditt system.

Det som gjør Mikalsen indignert, er at det siste hullet har vært kjent i spesielle miljøer uten at Symantec reagerte.

- Vi oppdaget hullet fordi vi driver systematisk penetrasjonstesting for kunder. I etterkant har vi fått vite at dette hullet har vært kjent i hvert fall siden i fjor høst. Men Symantec reagerte ikke før vi hadde sendt dem to sikkerhetsvarsler i rask rekkefølge.

Til toppen