DIGITEMIS découvre une vulnérabilité au sein d’un produit StormShield [CVE-2020-11711]

DIGITEMIS a découvert une vulnérabilité produit StormShield [CVE-2020-11711]. Stormshield Network Security (SNS) est une solution de protection des réseaux (pare-feu). Le produit SNS a également été certifié sur les critères communs EAL4+ fin 2016. La dernière génération (v4) du produit SNS est disponible depuis fin 2019.

stormshield vulnérabilité CVE-2020-8430

Découverte et Exploitation

L’équipe test d’intrusion de DIGITEMIS a découvert une vulnérabilité produit StormShield [CVE-2020-11711] au sein des produits SNS 3.6 à 3.10 et 4.0.0 à 4.0.4.
Un attaquant disposant d’un accès administrateur sur le SNS peut forger une clause de non-responsabilité malveillante. Il en résulte une exécution de code JavaScript persistante sans interaction utilisateur sur l’interface d’authentification du panel d’administration.

Par ce biais, il pourra maintenir son accès sur le panel d’administration du SNS. Il est également possible de dérober des identifiants du portail VPN SSL si l’administrateur a enregistré ses derniers dans le navigateur pour se reconnecter plus rapidement.

Cette vulnérabilité à été référencée CVE-2020-11711 par le MITRE.

Correctifs

L’éditeur a publié un correctif sur les versions 3.7.13, 3.11.0 et 4.1.1. Il est donc recommandé de mettre à jour ces systèmes. Le bulletin de sécurité édité par DIGITEMIS peut être téléchargé ci-dessous :

https://www.digitemis.com/wp-content/uploads/2020/11/20201026_CGA_StormShield_SNS_Build_3.8.0_StoredXSS_v1.0_article_Romain.pdf

Je partage

Derniers articles

Boîte blanche Digitemis

Cybersécurité

Faire des tests d’intrusion

Faire des tests d’intrusion à quoi ça sert ? Comment sont-ils réalisés et par qui ? On vous explique tout aujourd’hui. Pourquoi faire des tests d’intrusion ? Communément appelé « pentest » (de l’anglais « Penetration Testing »), le test d’intrusion est un audit de cybersécurité dont l’objectif est de mettre à l’épreuve une application ou un système d’information face […]

Lire l'article

Réseau du DPO

Privacy

Moi DPO : Au centre du réseau

Dans notre série “Moi DPO” nous avons vu, d’une part,  le “Portrait-robot du DPO en France” et, d’autre part,  “Démarrer une mission de délégué à la protection des données personnelles“. Poursuivons l’installation de notre DPO par la construction de son réseau, interne et externe, sans lequel il ne pourra pas avancer efficacement. 1. Le réseau […]

Lire l'article