Scarica il bollettino VA-IT-140505-01.A

Early Warning
Bollettino VA-IT-140505-01.A
E ARLY W ARNING
V ULNERABILITY A LE RT
Guida alla corretta lettura della scheda riassuntiva
Early Warning - Bollettino VA-IT-140505-01.A.docx
Template Version 6.140302
Pag. 2/6
E ARLY W ARNING
V ULNERABILITY A LE RT
CORRISPONDENZE
INFORMAZIONI GENERALI DELLA VULNERABILITÀ
TITOLO
Denial of Service in ScreenOS 6.3 di Juniper
Data Pubblicazione
08/05/2014
Data di pubblicazione della vulnerabilità.
PI-CERT ID
VA-IT-140505-01.A
Identificativo della vulnerabilità del CERT di Poste
Italiane.
CVE ID
CVE-2014-2842
Identificativo CVE1della vulnerabilità.
STANDARD CVSS V2
PUBLIC
METRICHE BASE DELLA VULNERABILITA’ (CVSS V2 BASE2)
Base Score
7.8 
Indicatore di pericolosità complessiva della vulnerabilità
secondo lo standard CVSS v.23(scala da 0 a 10).
Access Vector
NETWORK
La vulnerabilità è sfruttabile da remoto.
Access Complexity
LOW
Lo sfruttamento di questa vulnerabilità non implica la
compromissione di altri sistemi o l’utilizzo di specifici
schemi d’attacco.
Authentication
NONE
Non è richiesta alcun tipo di autenticazione.
Confidentiality Impact
NONE
Questa vulnerabilità non implica la perdita della
riservatezza dei dati.
Integrity Impact
NONE
Questa vulnerabilità non implica la perdita sull’integrità
dei dati.
Availability Impact
COMPLETE
L’impatto della vulnerabilità sulla disponibilità del
sistema è completo.
METRICHE TEMPORALI DELLA VULNERABILITA’ (CVSS V2 TEMPORAL4)
Temporal Score
6.8 
Indicatore di minaccia della vulnerabilità che può mutare
nel tempo (scala da 0 a 10).
Exploitability
NOT DEFINED
Non sono stati rilasciati pubblicamente exploit o PoC per
lo sfruttamento di questa vulnerabilità.
Remediation Level
OFFICIAL FIX
FIX e workaround ufficiali sono stati rilasciati per la
copertura di questa vulnerabilità.
Report Confidence
CONFIRMED
Le informazioni e i dettagli tecnici sulla vulnerabilità,
sono stati confermati da più fonti e dal vendor stesso.
Per maggiori informazioni sui campi compilati si rimanda alla pagina della “Guida alla corretta lettura della
scheda riassuntiva”.
1
CVE (Common Vulnerabilities and Exposures): Elenco di vulnerabilità fornita dal MITRE Corporation al fine di standardizzare i nomi e le
caratteristiche delle vulnerabilità.
2
Il gruppo "Base" dello standard CVSS v2 rappresenta l’insieme delle caratteristiche intrinseche della vulnerabilità.
3
CVSS (Common Vulnerabilities Scoring System): Metodologia per il calcolo della severità delle vulnerabilità.
4
Il gruppo "Temporal" dello standard CVSS v2 rappresenta l’insieme delle caratteristiche della vulnerabilità che mutano nel tempo.
Early Warning - Bollettino VA-IT-140505-01.A.docx
Template Version 6.140302
Pag. 3/6
E ARLY W ARNING
V ULNERABILITY A LE RT
DESCRIZIONE DEL PROD OTTO
ScreenOS è il sistema operativo ufficiale dei sistemi Juniper, azienda americana che sviluppa vari prodotti
tra cui sistemi di sicurezza perimetrali, come firewall e router.
INFORMAZIONI TECNICHE
Il Security Incident Response Team di Juniper Networks (Juniper SIRT) ha pubblicato il 16 aprile 2014
un'urgente bollettino con ID JSA10624, riguardante il proprio sistema operativo Juniper ScreenOS 6.3. Il
bug individuato induce un "Denial of Service" (DoS) del sistema colpito. La vulnerabilità consiste nell’invio
di pacchetti SSL/TLS malformati che generano un buffer overflow, causando il riavvio del sistema. La
società dichiara che questa vulnerabilità non riguarda altri prodotti o piattaforme Juniper, per i quali
ancora fornisce supporto tecnico.
MITIGAZIONE
Per la correzione del problema, il produttore raccomanda dei workaround e dei fix specifici, disponibili sul
sito:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10624
SISTEMI VULNERABILI
Juniper ScreenOS 6.3
Early Warning - Bollettino VA-IT-140505-01.A.docx
Template Version 6.140302
Pag. 4/6
E ARLY W ARNING
V ULNERABILITY A LE RT
BOLLETTINI CORRELATI
VA-IT-140408-01.A - Perdita della riservatezza in OpenSSL (heartbeats)
https://www.picert.it/perdita-della-riservatezza-in-openssl-heartbeats
RIFERIMENTI
Interni:
NON DISPONIBILI
Esterni:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2842
Espliciti del produttore:
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10624
Early Warning - Bollettino VA-IT-140505-01.A.docx
Template Version 6.140302
Pag. 5/6
E ARLY W ARNING
V ULNERABILITY A LE RT
Termini e condizioni di utilizzo del bollettino
Le informazioni contenute nel presente bollettino sono fornite “così come sono”, a meri fini
informativi.
In nessun caso il CERT Poste Italiane può essere ritenuto responsabile di qualunque perdita,
pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno
diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni
riportate nel presente bollettino.
La versione .pdf del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al
momento della pubblicazione.
Per definire al meglio le vulnerabilità, le operazioni svolte dal CERT di Poste Italiane necessitano di
scelte ben precise riguardo le minacce da considerare, le fonti di informazione ritenute più
autorevoli e competenti in materia, le modalità di filtraggio delle informazioni, la valutazione della
severity come metrica di base. Con particolare riferimento a quest’ultima - da intendersi quale
livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT di
Poste Italiane provvede a rivalutare i parametri che concorrono al calcolo della “Base Score” e
“Temporal Score” secondo lo standard CVSS v.2 (Common Vulnerabilities Scoring System) e
conseguentemente ad attribuire il proprio rating, avvalendosi del tool messo a disposizione dal
sito del National Institute of Standards and Technology (http://nvd.nist.gov/cvss.cfm).
La diffusione, comunicazione, riproduzione, copia con qualsiasi mezzo delle informazioni
contenute nel presente bollettino sono rigorosamente vietate.
Non è consentito rivelare o comunicare in alcun modo a terzi tali informazioni, se non previa
autorizzazione scritta del CERT di Poste Italiane.
E’ obbligatorio adottare ogni precauzione necessaria ad impedire i rischi di accesso non
autorizzato, uso non consentito o indebita appropriazione di tali informazioni da parte di soggetti,
terzi o meno, non autorizzati.
Eventuali delucidazioni sui contenuti del presente bollettino possono essere richiesti via e-mail al
CERT di Poste Italiane all’indirizzo: [email protected]
Early Warning - Bollettino VA-IT-140505-01.A.docx
Template Version 6.140302
Pag. 6/6