Plateforme
windows
Composant
ip-tools
Corrigé dans
2.50.1
CVE-2018-25256 décrit un dépassement de tampon (Buffer Overflow) détecté dans le composant SNMP Scanner de l'outil IP TOOLS. Cette vulnérabilité permet à un attaquant local de provoquer le plantage de l'application en fournissant des entrées de taille excessive, potentiellement conduisant à une perte de service et à un écrasement de la structure SEH. La vulnérabilité affecte la version 2.50 de l'outil. Aucune correction officielle n'est disponible à ce jour.
La vulnérabilité CVE-2018-25256 dans IP TOOLS 2.50 affecte le composant SNMP Scanner, permettant à des attaquants locaux de faire planter l'application. Le problème est un débordement de tampon local déclenché en fournissant des entrées excessivement grandes aux champs 'From Addr' et 'To Addr'. Cliquer sur le bouton 'Start' après avoir inséré ces données malveillantes peut entraîner une condition de déni de service (DoS) et potentiellement une écrasement de SEH (Structured Exception Handler). Bien que les informations actuelles suggèrent que l'impact principal est le DoS, la possibilité d'une exécution de code arbitraire existe si elle est exploitée avec succès. L'absence de correctif officiel (fix: none) aggrave le risque, nécessitant prudence et, si possible, évitant l'utilisation de cette version d'IP TOOLS.
L'exploitation de CVE-2018-25256 nécessite un accès local au système exécutant IP TOOLS 2.50. L'attaquant doit être en mesure de modifier les champs 'From Addr' et 'To Addr' avec des entrées malveillantes conçues pour déclencher le débordement de tampon. L'exploitation réussie dépend de la capacité de l'attaquant à créer une charge utile qui s'exécute après l'écrasement de SEH. Bien que les informations disponibles se concentrent sur le DoS, la possibilité d'une exécution de code arbitraire ne peut être écartée. La simplicité du vecteur d'attaque (insérer des données malveillantes et cliquer sur 'Start') en fait une menace potentiellement facile à exploiter pour les attaquants locaux ayant des connaissances de base.
System administrators and network engineers who rely on IP TOOLS 2.50 for network monitoring and troubleshooting are at risk. Environments with weak local access controls or shared accounts are particularly vulnerable. Users who have inadvertently downloaded and installed IP TOOLS from untrusted sources are also at increased risk.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq "ip_tools"}• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='IP TOOLS']]]" -MaxEvents 10• windows / supply-chain: Check Autoruns for suspicious entries related to IP TOOLS or SNMP scanner. Use Autoruns utility from Sysinternals.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
Étant donné l'absence de correctif officiel pour CVE-2018-25256, l'atténuation principale est d'éviter d'utiliser IP TOOLS version 2.50. Si son utilisation est inévitable, restreignez l'accès aux utilisateurs de confiance et surveillez de près son comportement. La mise en œuvre de mesures de sécurité au niveau du système d'exploitation, telles que l'activation de la prévention de l'exécution des données (DEP) et de la randomisation de la disposition de l'espace d'adressage (ASLR), peut aider à atténuer le risque, bien qu'elle ne l'élimine pas complètement. Maintenir le système d'exploitation et les autres applications à jour réduit également la surface d'attaque globale. L'absence de correctif rend l'atténuation principalement préventive et réductrice des risques.
Actualice a una versión corregida de IP TOOLS. Consulte el sitio web del proveedor (https://www.ks-soft.net/ip-tools.eng/index.htm) para obtener más información sobre las actualizaciones disponibles y cómo aplicar la corrección.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SEH overwrite (écrasement de Structured Exception Handler) est une technique d'exploitation qui permet à un attaquant de contrôler le flux d'exécution d'un programme en modifiant le tableau de gestionnaires d'exceptions du système.
Non, CVE-2018-25256 nécessite un accès local au système affecté. Ce n'est pas une vulnérabilité à distance.
Oui, plusieurs outils réseau alternatifs sont disponibles offrant des fonctionnalités similaires et potentiellement une plus grande sécurité. Recherchez et choisissez un outil ayant un historique de sécurité solide.
Il est fortement recommandé d'arrêter d'utiliser IP TOOLS 2.50 immédiatement et de rechercher une version plus sécurisée ou une alternative.
CVE (Common Vulnerabilities and Exposures) est un dictionnaire de vulnérabilités de sécurité de l'information connues.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.