Дыра в межсетевых экранах Symantec

Датская компания Advanced IT Security AS обнаружила уязвимость в одном из продуктов компании Symantec для обеспечения информационной безопасности. Дыра содержится в веб-сервере Simple Secure Webserver 1.1, входящем в состав пакетов Symantec Enterprise Firewall, Raptor Firewall и аппаратных систем VelociRaptor и Symantec Gateway Security.

Уязвимость позволяет организовать DoS-атаку на сеть, в которой установлен брандмауэр, использующий Simple Secure Webserver 1.1. Сущность уязвимости заключается в неправильной обработке сервером некоторых запросов. Если злоумышленник направит запрос, содержащий зарегистрированный, но неактивный в данный момент URL, сервер может достаточно долго — до пяти минут — ожидать от него ответа. В это время бранмауэр не может обслуживать никаких других запросов.

Типичный сценарий DoS-атаки в этом случае выглядит так: злоумышленник должен отключить службу DNS для какого-либо сайта, а затем направить на брандмауэр большое количество запросов к отключенному сайту. В результате, обработка запросов к нормально функционирующим сайтам может полностью прекратиться.

Позднее датская компания сообщила об еще одной дыре в брандмауэрах Symantec. По данным экспертов компании, по формату ответа, выдаваемого на правильно или неправильно составленные внешние запросы, злоумышленник может определить IP-адреса машин, скрывающихся за брандмауэром, и при желании восстановить полную топологию сети.

Это значительно увеличивает уязвимость сети для хакерских атак. Данная дыра была обнаружена в Raptor Firewall версий 6.5 для Windows NT и 6.5.3 для Solaris, а также в Symantec Enterprise Firewall 6.5.2 для Windows NT и 2000. Впрочем. по некоторым данным, Symantec давно обнаружила эту дыру и выпустила заплатку к ней еще прошлым летом.