Checkpoint Hakkında Bir E-Posta, Söylentiler ve "Root" Exploit

Dün itibariyle "Full Disclosure" listesine atılan bir e-posta ile Checkpoint VPN-1'e ait kaynak kodların ele geçirildiği, kaynak kod içinde çok sayıda zaafiyet bulunduğu, çalışan bir "Root" exploit'inin hazırlandığı ve tüm bunların satılık olduğu duyuruldu. Exploit'in 18190 TCP portu üzerinden smartcenter'a ulaştığı ve SSH için bir hesap yarattığı e-posta içindeki örnekte görülüyor.

Checkpoint Firewall'un eğer VPN-1 aktifse güvenilmeyen ağlara (örn Internet) 18264 (sertifika otoritesi), 264/256 (harita el sıkışması) ve 500 (IKE) dışında bir portu genellikle açılmıyor. Bu nedenle 18190. porta erişim büyük ihtimal kapalı durumdadır ve ilk exploiti Internetten kullanmak biraz daha zor olacaktır, ancak güvenilen bir ağdan açığın kullanımı mümkün olacaktır. Ancak iddia ciddiye alınırsa, kaynak kodun önemli sorunlar içerdiği doğruysa, Checkpoint'in VPN-1 kararlılığı için zorunlu olarak çalıştırdığı çok sayıda servis açıklardan etkileniyor olabilir; bu durumda birçok Checkpoint Firewall'u potansiyel hedef haline getirecektir.

Söylentiyi ciddiye alırsak (CVS ağacının yayınlanması biraz gövde gösterisi gibi) Checkpoint Firewall erişimlerini gözden geçirmek ve yama beklemek doğru olacaktır.

İlgili Duyuru
Checkpoint Sources plus SPLAT Remote Root Exploit.
http://seclists.org/fulldisclosure/2008/Dec/0344.html

Fatih Özavcı
IT Security Consultant

posted by Fatih Ozavci @ 7:29 PM Yorumlar: 1