Early Warning Bollettino VA-IT-131028-01.B
Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-131028-01.B Pag. 2/6
P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Reflected Cross Site Scripting in CA SiteMinder Data Pubblicazione 02/12/2013 Data di pubblicazione della vulnerabilità. PI-CERT ID VA-IT-131028-01.B Identificativo della vulnerabilità del CERT di Poste Italiane. CVE ID CVE-2013-5968 Identificativo CVE 1 della vulnerabilità. STANDARD CVSS V2 METRICHE BASE DELLA VULNERABILITA (CVSS V2 BASE 2 ) Base Score Access Vector Access Complexity 5.0 NETWORK LOW Indicatore di pericolosità complessiva della vulnerabilità secondo lo standard CVSS v.2 3 (scala da 0 a 10). Lo sfruttamento di questa vulnerabilità è possibile da qualunque rete collegata al sistema affetto. Lo sfruttamento di questa vulnerabilità non implica la compromissione ti altri sistemi o l utilizzo di specifici schemi d attacco. Authentication NONE Non è richiesta alcun tipo di autenticazione. Confidentiality Impact Integrity Impact PARTIAL NONE Sebbene questa vulnerabilità ha un impatto parziale sulla riservatezza a livello sistemistico, in un contesto bancario potrebbe ritenersi altamente critica. Questa vulnerabilità non ha impatto sull Integrità dei dati. Availability Impact NONE Questa vulnerabilità non ha impatto sulla disponibilità. METRICHE TEMPORALI DELLA VULNERABILITA (CVSS V2 TEMPORAL 4 ) Temporal Score Exploitability Remediation Level Report Confidence 4.0 UNPROVEN WORKAROUND CONFIRMED Indicatore di minaccia della vulnerabilità che può mutare nel tempo (scala da 0 a 10). E stato reso noto un proof of concept solo a livello privato. Sono presenti dei workaround specifici per la copertura della vulnerabilità. Le informazioni e i dettagli tecnici sulla vulnerabilità, sono confermati da più fonti e dal vendor stesso. Per maggiori informazioni sui campi compilati si rimanda alla pagina della Guida alla corretta lettura della scheda riassuntiva. 1 CVE (Common Vulnerabilities and Exposures): Elenco di vulnerabilità fornita dal MITRE Corporation al fine di standardizzare i nomi e le caratteristiche delle vulnerabilità. 2 Il gruppo "Base" dello standard CVSS v2 rappresenta l insieme delle caratteristiche intrinseche della vulnerabilità. 3 CVSS (Common Vulnerabilities Scoring System): Metodologia per il calcolo della severità delle vulnerabilità. 4 Il gruppo "Temporal" dello standard CVSS v2 rappresenta l insieme delle caratteristiche della vulnerabilità che mutano nel tempo. Early Warning - Bollettino VA-IT-131028-01.B Pag. 3/6
DESCRIZIONE DEL PRODOTTO SiteMinder di CA è un sistema di gestione delle identià che controlla l accesso alle risorse offerte sul WEB, fornendo servizi di gestione dell autenticazione, autorizzazioni basate su policy, single sign-on, auditing e reporting, etc. INFORMAZIONI TECNICHE Un ricercatore di sicurezza informatica americano, Zachary Pritchard del team Cigital, ha trovato un possibile cross site scripting (XSS) di tipo reflected su CA SiteMinder. La vulnerabilità è stata resa pubblica il 24 ottobre 2013 dal direttore Kevin Kotas di CA Technologies Product Vulnerability Response Team, indicando la sua mitigazione senza però entrare nel dettaglio del bug di programmazione. La vulnerabilità può potenzialmente consentire ad un attaccante remoto, senza autenticazione, l'esecuzione di script nel contesto del dominio SiteMinder che verrà iniettato nella pagina ed eseguito lato client. La possibile perdita di dati ad esempio, può coinvolgere le credenziali di accesso, tramite un modulo contraffatto sovrapposto al modulo originale. MITIGAZIONE Per la correzione del problema, il produttore raccomanda dei workaround e dei fix specifici, disponibili sul sito: https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentid={9b8e7a8a-2a00-4456-a7cc- 8C2E74AA7EA5} SISTEMI VULNERABILI CA SiteMinder 12.51 CA SiteMinder 12.5 CA SiteMinder 12.0 CA SiteMinder 6 Web Agents Early Warning - Bollettino VA-IT-131028-01.B Pag. 4/6
BOLLETTINI CORRELATI NON DISPONIBILI RIFERIMENTI Interni: NON DISPONIBILI Esterni: http://seclists.org/bugtraq/2013/oct/122 http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-5968 http://www.osvdb.org/show/osvdb/98919 https://support.ca.com/irj/portal/anonymous/phpsbpldgpg http://web.nvd.nist.gov/view/vuln/detail?vulnid=cve-2013-5968 Espliciti del produttore: https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentid={9b8e7a8a-2a00-4456-a7cc- 8C2E74AA7EA5} Early Warning - Bollettino VA-IT-131028-01.B Pag. 5/6
Termini e condizioni di utilizzo del bollettino Le informazioni contenute nel presente bollettino sono fornite così come sono, a meri fini informativi. In nessun caso il CERT Poste Italiane può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino. La versione.pdf del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. Per definire al meglio le vulnerabilità, le operazioni svolte dal CERT di Poste Italiane necessitano di scelte ben precise riguardo le minacce da considerare, le fonti di informazione ritenute più autorevoli e competenti in materia, le modalità di filtraggio delle informazioni, la valutazione della severity come metrica di base. Con particolare riferimento a quest ultima - da intendersi quale livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT di Poste Italiane provvede a rivalutare i parametri che concorrono al calcolo della Base Score e Temporal Score secondo lo standard CVSS v.2 (Common Vulnerabilities Scoring System) e conseguentemente ad attribuire il proprio rating, avvalendosi del tool messo a disposizione dal sito del National Institute of Standards and Technology (http://nvd.nist.gov/cvss.cfm). La diffusione, comunicazione, riproduzione, copia con qualsiasi mezzo delle informazioni contenute nel presente bollettino sono rigorosamente vietate. Non è consentito rivelare o comunicare in alcun modo a terzi tali informazioni, se non previa autorizzazione scritta del CERT di Poste Italiane. E obbligatorio adottare ogni precauzione necessaria ad impedire i rischi di accesso non autorizzato, uso non consentito o indebita appropriazione di tali informazioni da parte di soggetti, terzi o meno, non autorizzati. Eventuali delucidazioni sui contenuti del presente bollettino possono essere richiesti via e-mail al CERT di Poste Italiane all indirizzo: certew@posteitaliane.it Early Warning - Bollettino VA-IT-131028-01.B Pag. 6/6