17 de abril de 2011

SALTO DE RESTRICCIONES EN “McAfee Firewall Reporter”

Fallo en el código responsable de la autenticación de los usuarios de "McAfee Firewall Reporter", (en el archivo 'GernalUtilities.pm'), podría permitir a un atacante remoto evadir las restricciones de seguridad y tomar el control del dispositivo.

McAfee Firewall Reporter es un gestor de eventos de seguridad destinado a auditar y a mantener los logs de otras aplicaciones empresariales destinadas a la seguridad de la red. Sus principales funciones son las de transformar los flujos de auditoría en información que puede ser procesada mediante una monitorización centralizada.

Detalle del fallo :

  • El problema se debe a que GernalUtilities.pm no realiza ningún filtrado de los valores de entrada de la cookie interpretada.
  • La lógica de programación simplemente comprueba la existencia de cierto archivo para validar al usuario, sin hacer ninguna inspección de su contenido.
  • Utilizando alguna técnica de escalada de directorios, un atacante podría hacer que cierto valor de la cookie apuntase a algún archivo que existiese en el servidor, con lo que, independientemente de su contenido, conseguiría evadir las restricciones de seguridad establecidas.
  • Con estos privilegios el atacante tendría acceso a la interfaz web de McAfee Firewall Reporter, lo que le permitiría desactivar el antivirus o añadir exclusiones no deseadas.

Recomendaciones :

Como el fallo ya ha sido arreglado por McAfee en la versión 5.1.0.13, lo lógico para todos los usarios de “McAfee Firewall Reporter” es actualizar a la nueva versión.

Más información en el sitio web:

https://kc.mcafee.com/corporate/index?page=content&id=SB10015

Fuente: Hispasec