DIGITEMIS découvre une vulnérabilité au sein d’un produit StormShield [CVE-2020-11711]

DIGITEMIS a découvert une vulnérabilité produit StormShield [CVE-2020-11711]. Stormshield Network Security (SNS) est une solution de protection des réseaux (pare-feu). Le produit SNS a également été certifié sur les critères communs EAL4+ fin 2016. La dernière génération (v4) du produit SNS est disponible depuis fin 2019.

stormshield vulnérabilité CVE-2020-8430

Découverte et Exploitation

L’équipe test d’intrusion de DIGITEMIS a découvert une vulnérabilité produit StormShield [CVE-2020-11711] au sein des produits SNS 3.6 à 3.10 et 4.0.0 à 4.0.4.
Un attaquant disposant d’un accès administrateur sur le SNS peut forger une clause de non-responsabilité malveillante. Il en résulte une exécution de code JavaScript persistante sans interaction utilisateur sur l’interface d’authentification du panel d’administration.

Par ce biais, il pourra maintenir son accès sur le panel d’administration du SNS. Il est également possible de dérober des identifiants du portail VPN SSL si l’administrateur a enregistré ses derniers dans le navigateur pour se reconnecter plus rapidement.

Cette vulnérabilité à été référencée CVE-2020-11711 par le MITRE.

Correctifs

L’éditeur a publié un correctif sur les versions 3.7.13, 3.11.0 et 4.1.1. Il est donc recommandé de mettre à jour ces systèmes. Le bulletin de sécurité édité par DIGITEMIS peut être téléchargé ci-dessous :

https://www.digitemis.com/wp-content/uploads/2020/11/20201026_CGA_StormShield_SNS_Build_3.8.0_StoredXSS_v1.0_article_Romain.pdf

Je partage

Derniers articles

Conformité DORA : Tout savoir pour une mise en œuvre efficace

Comprendre et appliquer DORA est essentiel pour maintenir la conformité et la résilience des institutions financières. Cet article détaille la portée de DORA, propose un guide pour un plan de conformité efficace, et explore les défis et stratégies pour les surmonter.

Lire l'article
Visa de sécurité ANSSI.

Digitemis réussit une nouvelle fois l’audit de surveillance PASSI (ANSSI)

Nous sommes fiers d’annoncer que nous avons brillamment réussi notre audit de surveillance (PASSI), qui intervient tous les 18 mois.

Lire l'article