Fallo en el código responsable de la autenticación de los usuarios de "McAfee Firewall Reporter", (en el archivo 'GernalUtilities.pm'), podría permitir a un atacante remoto evadir las restricciones de seguridad y tomar el control del dispositivo.
McAfee Firewall Reporter es un gestor de eventos de seguridad destinado a auditar y a mantener los logs de otras aplicaciones empresariales destinadas a la seguridad de la red. Sus principales funciones son las de transformar los flujos de auditoría en información que puede ser procesada mediante una monitorización centralizada.
Detalle del fallo :
- El problema se debe a que GernalUtilities.pm no realiza ningún filtrado de los valores de entrada de la cookie interpretada.
- La lógica de programación simplemente comprueba la existencia de cierto archivo para validar al usuario, sin hacer ninguna inspección de su contenido.
- Utilizando alguna técnica de escalada de directorios, un atacante podría hacer que cierto valor de la cookie apuntase a algún archivo que existiese en el servidor, con lo que, independientemente de su contenido, conseguiría evadir las restricciones de seguridad establecidas.
- Con estos privilegios el atacante tendría acceso a la interfaz web de McAfee Firewall Reporter, lo que le permitiría desactivar el antivirus o añadir exclusiones no deseadas.
Recomendaciones :
Como el fallo ya ha sido arreglado por McAfee en la versión 5.1.0.13, lo lógico para todos los usarios de “McAfee Firewall Reporter” es actualizar a la nueva versión.
Más información en el sitio web:
https://kc.mcafee.com/corporate/index?page=content&id=SB10015
Fuente: Hispasec