Les solutions VPN TheGreenBow sont réputées pour leur robustesse et leur sécurité. Nous veillons à anticiper au maximum les problèmes de sécurité en contrôlant nos produits en permanence afin de garder une longueur d’avance sur les dernières menaces. Nous suivons de près les derniers développements relatifs à la sécurité en collaborant avec des entreprises et des chercheurs en sécurité.
Nous restons également très à l’écoute de nos clients.
Si vous souhaitez nous faire part d’une vulnérabilité, contactez-nous à : advisory@thegreenbow.com.
Patches de sécurité
- Patch de sécurité (CVE-2024-45750) pour le Client VPN Windows Standard version 6.87.x : télécharger ici
- Patch de sécurité (CVE-2024-45750) pour le Client VPN Windows Enterprise version Windows 7.5.x : télécharger ici
- Patch de sécurité (CVE-2023-47267) pour le Client VPN Windows Certifié version 6.52.006 : télécharger ici
- Patch de sécurité (référence TGB_2022_001) pour le Client VPN Windows Certifié version 6.52.006 : télécharger ici
Avis et mises à jour de sécurité
Si vous souhaitez être tenu au courant des nouvelles vulnérabilités, veuillez nous envoyer les coordonnées du référent sécurité de votre entreprise ou de votre organisation, à l’adresse mail : referent@thegreenbow.com.
Impact
Vulnérabilité / mise a jour de sécurité
Référence
Publication
-
Impact
medium
-
Vulnérabilité / mise a jour de sécurité
Acceptation de signatures ECDSA mal formatées
-
Référence
CVE-2024-45750
-
Publication
24/09/2024
- Crédit TheGreenBow
- Détail Dans l’étape d’authentification IKEv2, Le client VPN considère comme valides des signatures ECDSA mal formatées et monte le tunnel.
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows Standard 6.87.108 (et antérieur) | Client VPN Windows Enterprise 6.87.109 (et antérieur) | Client VPN Windows Enterprise 7.5.007 (et antérieur) | Client VPN Android 6.4.5 (et antérieur) | Client VPN Linux 3.4 (et antérieur) | Client VPN MacOS 2.4.10 (et antérieur)
- Logiciel corrigé à partir de la version Client VPN Android 6.4 Client VPN macOS 2.5 Client VPN Linux 3.4 Ubuntu 22.04 Client VPN Linux 3.4 Red Hat 9 Patch Client VPN Windows Standard version 6.87.108 Client VPN Windows Enterprise version 7.5.109
-
Impact
high
-
Vulnérabilité / mise a jour de sécurité
Elevation de privilèges SYSTEM en utilisant les fichiers mappés en mémoire
-
Référence
CVE-2023-47267
-
Publication
30/11/2023
- Crédit Michelin
- Détail Un malware peut utiliser le Client VPN pour écrire ou supprimer une clé de registre permettant une exécution avec une élévation de privilèges SYSTEM.
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Windows VPN Client 6.87 standard, 6.87 Enterprise et 6.52 (Certified)
- Logiciel corrigé à partir de la version Client VPN Windows Enterprise Certifié 6.52 Client VPN Windows Enterprise 6.87.109 Client VPN Windows Standard 6.87.108
-
Impact
low
-
Vulnérabilité / mise a jour de sécurité
Mise à jour de Sécurité OpenSSL
-
Référence
TGB_2022_002
-
Publication
14/04/2022
- Crédit OpenSSL
- Détail Correctif OpenSSL 1.1.1n (CVE-2022-0778)
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 6.8
- Logiciel corrigé à partir de la version Client VPN Windows Enterprise 6.87.108 Client VPN Windows Standard 6.87.108
-
Impact
medium
-
Vulnérabilité / mise a jour de sécurité
Risque de buffer overflow au moment de l’activation d’une licence
-
Référence
TGB_2022_001
-
Publication
14/04/2022
- Crédit Oppida
- Détail Un attaquant pouvant intercepter les échanges HTTP vers le serveur d’activation des licences, pourrait y insérer une charge malveillante et provoquer un buffer overflow.
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 6.6, 6.8 et 6.52 (Certifié)
- Logiciel corrigé à partir de la version Client VPN Windows Enterprise 6.87.108 Client VPN Windows Standard 6.87.108 Client VPN Windows Enterprise Certifié 6.52 (patch v2, compatible Microsoft Defender)
-
Impact
low
-
Vulnérabilité / mise a jour de sécurité
Déni de service sur le panneau de configuration via un mot de passe administrateur trop grand.
-
Référence
2019_6947
-
Publication
15/04/2019
- Crédit Oppida
- Détail -
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné VPN Client pour Windows 5.22
- Logiciel corrigé à partir de la version VPN Client pour Windows 5.22 (Certifié) VPN Client pour Windows 5.22 (Certifié)
-
Impact
low
-
Vulnérabilité / mise a jour de sécurité
Déni de service sur le panneau de configuration via un mot de passe administrateur trop grand.
-
Référence
2019_6947
-
Publication
15/04/2019
- Crédit Oppida
- Détail -
- Exploitation TheGreenBow n’est averti d’aucune annonce publique ni d’aucun cas d’utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné VPN Client pour Windows 5.22
- Logiciel corrigé à partir de la version VPN Client pour Windows 5.22.008 (Certifié) VPN Client pour Windows 6.52.006 (Certifié) VPN Client Standard pour Windows 6.64.003 VPN Client Standard pour Windows 6.64.003
-
Impact
low
-
Vulnérabilité / mise a jour de sécurité
Les octets de padding du hash du fichier de configuration VPN peuvent être patchés.
-
Référence
2019_6957
-
Publication
15/04/2019
- Crédit Oppida
- Détail -
- Exploitation Aucune exploitation de cette vulnérabilité n'a été trouvée.
- Produit concerné Client VPN Windows 5.22, 6.50, 6.60
- Logiciel corrigé à partir de la version Client VPN Windows 5.22.008 (Certifié) Client VPN Windows 6.52.006 (Certifié) Client VPN Windows 6.64
-
Impact
low
-
Vulnérabilité / mise a jour de sécurité
Déni de service par flood UDP alors que le logiciel est en mode traçant
-
Référence
2018_7322
-
Publication
15/04/2019
- Crédit Oppida
- Détail -
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 5.22, 6.50, 6.60
- Logiciel corrigé à partir de la version Windows VPN Client 5.22.008 (Certifié) Windows VPN Client 6.52.006 (Certifié) Windows VPN Client 6.64.003
-
Impact
medium
-
Vulnérabilité / mise a jour de sécurité
Le Client VPN accepte d’authentifier la passerelle même si aucun payload AUTH n’a été reçu
-
Référence
2018_6926
-
Publication
15/04/2019
- Crédit Oppida
- Détail Le client accepte les messages IKE_AUTH ne contenant pas de charge utile de type CERT et/ou AUTH. Un attaquant situé en Man-in-the-Middle peut tirer parti de ce comportement dans le but d'usurper l'identité de la passerelle et ainsi porter atteinte à l'intégrité à la confidentialité des données transmises dans le tunnel.
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 5.22
- Logiciel corrigé à partir de la version Client VPN Windows 5.22.008 (Certifié)
-
Impact
medium
-
Vulnérabilité / mise a jour de sécurité
Contournement de la vérification de la date d’un certificat par l’utilisation du format GeneralizedTime
-
Référence
2018_7338
-
Publication
15/04/2019
- Crédit Oppida
- Détail -
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 5.22, 6.50, 6.60
- Logiciel corrigé à partir de la version Client VPN Windows 5.22.008 (Certifié) Client VPN Windows 6.52.006 (Certifié) Client VPN Windows 6.64.003
-
Impact
medium
-
Vulnérabilité / mise a jour de sécurité
Déni de service sur réception d’un certificat malformé
-
Référence
2018_7323
-
Publication
15/04/2019
- Crédit Oppida
- Détail Le Client VPN est vulnérable aux dénis de service via le parsing d'un certificat malformé provenant de la passerelle. Ce certificat peut être tronqué ou bien contenir une longueur ASN.1 supérieure à la longueur des données.
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 5.22, 6.50, 6.60
- Logiciel corrigé à partir de la version Client VPN Windows 5.22.008 (Certifié) Client VPN Windows 6.52.006 (Certifié) Client VPN Windows 6.64.003
-
Impact
high
-
Vulnérabilité / mise a jour de sécurité
Possibilité d’attaque de type man-in-the-middle via l’utilisation d’une AC stockée dans le magasin de certificat Windows
-
Référence
2018_7293
-
Publication
15/04/2019
- Crédit ANSSI
- Détail -
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 5.22, 6.50, 6.60
- Logiciel corrigé à partir de la version Client VPN Windows 5.22.008 (Certifié) Client VPN Windows 6.52.006 (Certifié) Client VPN Windows 6.64
-
Impact
medium
-
Vulnérabilité / mise a jour de sécurité
Déni de service sur gestion de certificat contenant des caractères spéciaux
-
Référence
2018_6943
-
Publication
15/04/2019
- Crédit Oppida
- Détail -
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 5.22
- Logiciel corrigé à partir de la version Client VPN Windows 5.22.008 (Certifié)
-
Impact
low
-
Vulnérabilité / mise a jour de sécurité
Le port 1194 est toujours en écoute et peut être utilisé pour une attaque DOS
-
Référence
2018_7294
-
Publication
15/04/2019
- Crédit Oppida
- Détail -
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 6.50, 6.60
- Logiciel corrigé à partir de la version Client VPN Windows 6.52.006 (Certifié) Client VPN Windows 6.64
-
Impact
high
-
Vulnérabilité / mise a jour de sécurité
Le browser embarqué utilisé pour la gestion du portail captif en mode GINA permet une élévation de privilège
-
Référence
2018_7300
-
Publication
15/04/2019
- Crédit Oppida
- Détail -
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 6.50, 6.60
- Logiciel corrigé à partir de la version Client VPN Windows 6.52.006 (Certifié) Client VPN Windows 6.64.003
-
Impact
medium
-
Vulnérabilité / mise a jour de sécurité
DOS sur réception d’une trame SA mal formée
-
Référence
2018_7324
-
Publication
15/04/2019
- Crédit Oppida
- Détail -
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 6.50, 6.60
- Logiciel corrigé à partir de la version Client VPN Windows 6.52.006 (Certifié) Client VPN Windows 6.64.003
-
Impact
medium
-
Vulnérabilité / mise a jour de sécurité
Bypass de la signature du fichier de configuration
-
Référence
TGB_2019_6967
-
Publication
20/02/2019
- Crédit Synacktiv
- Détail -
- Exploitation TheGreenBow n'est averti d'aucune annonce publique ni d'aucun cas d'utilisation malveillante de la vulnérabilité décrite dans cet avis.
- Produit concerné Client VPN Windows 6.4x and before
- Logiciel corrigé à partir de la version Client VPN Windows 6.52.006 (Certified) Client VPN Windows 6.64.003