📚 Sophos UTM 9.404-5/9.405-5 SMTP User Setting Password Information Disclosure
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine problematische Schwachstelle wurde in Sophos UTM 9.404-5/9.405-5 entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente SMTP User Setting. Mit der Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Password) ausgenutzt werden. Auswirkungen sind zu beobachten für die Vertraulichkeit.
Die Schwachstelle wurde am 30.09.2016 durch Tim Schughart und Khanh Quoc Pham in Form eines ungeprüften Mailinglist Posts (Bugtraq) veröffentlicht. Auf seclists.org kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2016-7397 statt. Sie ist leicht auszunutzen. Der Angriff muss lokal passieren. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Das Advisory weist darauf hin:
The password is reflected to DOM and is readable through the "value" field of the SMTP user settings in notifications tab.
Es wurde sofort nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von seclists.org geschehen. Dabei muss 29 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $0-$1k auf dem Schwarzmarkt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Die Einträge 92271 sind sehr ähnlich.
CVSSv3
Base Score: 3.3 [?]Temp Score: 3.0 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:P/RL:U/RC:R [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 1.7 (CVSS2#AV:L/AC:L/Au:S/C:P/I:N/A:N) [?]Temp Score: 1.5 (CVSS2#E:POC/RL:U/RC:UR) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Information DisclosureLokal: Ja
Remote: Nein
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Download: seclists.org
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: Nicht verfügbar
0-Day Time: 29 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Timeline
01.09.2016 Hersteller informiert01.09.2016 Hersteller bestätigt
30.09.2016 Advisory veröffentlicht
30.09.2016 Exploit veröffentlicht
30.09.2016 VulDB Eintrag erstellt
30.09.2016 VulDB letzte Aktualisierung
Quellen
Advisory: seclists.orgPerson: Tim Schughart/Khanh Quoc Pham
Status: Ungeprüft
CVE: CVE-2016-7397 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 92271
Eintrag
Erstellt: 30.09.2016Eintrag: 77.8% komplett
...