DIGITEMIS découvre une vulnérabilité au sein d’un produit Stormshield [CVE-2020-8430]

stormshield vulnérabilité CVE-2020-8430

Stormshield Network Security (SNS) est une solution de protection des réseaux (pare-feu).  Le produit SNS a également été certifié sur les critères communs EAL4+ fin 2016. La dernière génération (v4) du produit SNS est disponible depuis fin 2019.

Découverte et Exploitation

L’équipe test d’intrusion de Digitemis a découvert une vulnérabilité au sein des produits SNS 3.0.0 à 4.0.1.
Le portail captif du VPN SSL des SNS impactés est vulnérable à une redirection arbitraire.
Un attaquant peut rediriger les utilisateurs et administrateurs vers une instance SNS malveillante via l’envoi d’un mail de phishing.

Cette vulnérabilité à été référencée CVE-2020-8430 par le MITRE.

Correctifs

L’éditeur a publié un correctif sur les versions 3.7.11, 3.10.1 et 4.0.2, il est donc recommandé de mettre à jour ces systèmes. Le bulletin de sécurité édité par Digitemis peut être téléchargé ci-dessous :

https://www.digitemis.com/wp-content/uploads/2020/07/CVE-2020-8430_StormShield_SNS_OpenRedirect_v1.0.pdf

Je partage

venenatis ut libero. commodo tristique eget elit. ut in luctus