Platform
windows
Component
ip-tools
Opgelost in
2.50.1
CVE-2018-25256 beschrijft een buffer overflow kwetsbaarheid in de SNMP Scanner component van IP TOOLS. Deze kwetsbaarheid stelt een lokale aanvaller in staat de applicatie te laten crashen door oversized input te leveren, wat kan leiden tot een denial-of-service en SEH overwrite. De kwetsbaarheid treft versie 2.50 van IP TOOLS. Op dit moment is er geen officiële patch beschikbaar.
CVE-2018-25256 in IP TOOLS 2.50 beïnvloedt de SNMP Scanner component, waardoor lokale aanvallers de applicatie kunnen laten crashen. Het probleem is een lokale buffer overflow die wordt veroorzaakt door het aanleveren van overmatig grote invoer naar de velden 'From Addr' en 'To Addr'. Door op de knop 'Start' te klikken nadat deze kwaadaardige gegevens zijn ingevoerd, kan dit leiden tot een Denial-of-Service (DoS)-conditie en mogelijk een SEH (Structured Exception Handler)-overschrijving. Hoewel de huidige informatie suggereert dat de primaire impact een DoS is, bestaat er de mogelijkheid van willekeurige code-uitvoering als deze succesvol wordt misbruikt. Het ontbreken van een officiële fix (fix: none) verergert het risico, waardoor voorzichtigheid geboden is en, indien mogelijk, het gebruik van deze versie van IP TOOLS moet worden vermeden.
Het misbruiken van CVE-2018-25256 vereist lokale toegang tot het systeem waarop IP TOOLS 2.50 wordt uitgevoerd. De aanvaller moet in staat zijn om de velden 'From Addr' en 'To Addr' te wijzigen met kwaadaardige invoer die is ontworpen om de buffer overflow te activeren. Een succesvol misbruik hangt af van het vermogen van de aanvaller om een payload te creëren die wordt uitgevoerd na de SEH-overschrijving. Hoewel de beschikbare informatie zich richt op DoS, kan de mogelijkheid van willekeurige code-uitvoering niet worden uitgesloten. De eenvoud van de aanval (het invoeren van kwaadaardige gegevens en het klikken op 'Start') maakt het een potentiële dreiging die gemakkelijk te misbruiken is voor lokale aanvallers met basiskennis.
System administrators and network engineers who rely on IP TOOLS 2.50 for network monitoring and troubleshooting are at risk. Environments with weak local access controls or shared accounts are particularly vulnerable. Users who have inadvertently downloaded and installed IP TOOLS from untrusted sources are also at increased risk.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq "ip_tools"}• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='IP TOOLS']]]" -MaxEvents 10• windows / supply-chain: Check Autoruns for suspicious entries related to IP TOOLS or SNMP scanner. Use Autoruns utility from Sysinternals.
disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
Gezien het ontbreken van een officiële fix voor CVE-2018-25256 is de primaire mitigatie om het gebruik van IP TOOLS versie 2.50 te vermijden. Indien het gebruik onvermijdelijk is, beperk dan de toegang tot vertrouwde gebruikers en bewaak het gedrag nauwlettend. Het implementeren van beveiligingsmaatregelen op systeemniveau, zoals het inschakelen van Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR), kan helpen het risico te verminderen, hoewel het het niet volledig elimineert. Het up-to-date houden van het besturingssysteem en andere applicaties vermindert ook het totale aanvalsoppervlak. Het ontbreken van een patch maakt de mitigatie voornamelijk preventief en risicobeperkend.
Actualice a una versión corregida de IP TOOLS. Consulte el sitio web del proveedor (https://www.ks-soft.net/ip-tools.eng/index.htm) para obtener más información sobre las actualizaciones disponibles y cómo aplicar la corrección.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SEH overwrite (Structured Exception Handler overschrijving) is een exploitatietechniek waarmee een aanvaller de uitvoeringsstroom van een programma kan overnemen door de uitzonderingshandler-tabel van het systeem te wijzigen.
Nee, CVE-2018-25256 vereist lokale toegang tot het getroffen systeem. Het is geen kwetsbaarheid op afstand.
Ja, er zijn verschillende alternatieve netwerkgereedschappen beschikbaar die vergelijkbare functionaliteit bieden en mogelijk meer veiligheid bieden. Onderzoek en kies een tool met een solide beveiligingsreputatie.
Het wordt ten zeerste aanbevolen om het gebruik van IP TOOLS 2.50 onmiddellijk te stoppen en te zoeken naar een veiligere versie of een alternatief.
CVE (Common Vulnerabilities and Exposures) is een woordenboek van bekende beveiligingskwetsbaarheden.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.