Platform
ruby
Component
puppet
Opgelost in
2.7.18
CVE-2012-3408 beschrijft een kwetsbaarheid in Puppet, specifiek in de manier waarop IP-adressen in certificaatnamen (certnames) worden behandeld. Deze kwetsbaarheid stelt een aanvaller in staat om een agent te spoofen door een eerder gebruikt IP-adres te bemachtigen, wat kan leiden tot ongeautoriseerde configuratiewijzigingen. De kwetsbaarheid treft versies van Puppet tot en met 2.7.9 en Puppet Enterprise tot en met 2.5.2. Een patch is beschikbaar in versie 2.7.18.
Een succesvolle exploitatie van CVE-2012-3408 kan leiden tot agent spoofing, waarbij een aanvaller zich voordoet als een legitieme agent in het Puppet-netwerk. Dit kan de aanvaller in staat stellen om configuratiewijzigingen door te voeren alsof deze afkomstig zijn van een vertrouwde bron. De impact is vooral groot in omgevingen waar Puppet wordt gebruikt voor het beheren van kritieke infrastructuur, aangezien een gespoofde agent configuraties kan wijzigen die de beschikbaarheid of beveiliging van systemen beïnvloeden. Hoewel de CVSS-score laag is, kan de impact aanzienlijk zijn afhankelijk van de configuratie en het gebruik van Puppet.
Deze kwetsbaarheid is al geruime tijd bekend en is opgenomen in de CISA KEV catalogus. Er zijn geen publieke exploits bekend, maar de mogelijkheid tot agent spoofing blijft een potentieel risico. De lage CVSS-score suggereert een relatief lage exploitatiekans, maar de impact kan aanzienlijk zijn in afhankelijk van de omgeving. De publicatiedatum van 2017-10-24 geeft aan dat de kwetsbaarheid al lang geleden is ontdekt en gepatcht.
Exploit Status
EPSS
0.26% (49% percentiel)
De primaire mitigatie voor CVE-2012-3408 is het upgraden van Puppet naar versie 2.7.18 of hoger, of Puppet Enterprise naar versie 2.5.2 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan om de Puppet-configuratie aan te passen om het gebruik van IP-adressen in certnames te beperken of te verbieden. Implementeer een strikt beleid voor het beheren van certificaten en controleer regelmatig de Puppet-logboeken op verdachte activiteit. WAF-regels kunnen worden ingesteld om pogingen tot agent spoofing te detecteren en te blokkeren, hoewel dit een secundaire verdedigingslinie is.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2012-3408 is a vulnerability in Puppet versions ≤2.7.9 and Puppet Enterprise before 2.5.2 that allows attackers to spoof Puppet agents by reusing IP addresses in certnames, potentially leading to unauthorized access.
You are affected if you are running Puppet versions 2.7.9 or earlier, or Puppet Enterprise versions prior to 2.5.2. Check your Puppet version using pupdump version.
Upgrade to Puppet version 2.7.18 or later to resolve this vulnerability. This update implements stricter validation of certnames.
There is no public evidence of active exploitation campaigns targeting CVE-2012-3408 at this time.
Refer to the official Puppet security advisory for CVE-2012-3408: https://puppet.com/security/advisories/cve-2012-3408
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.