El producto, enfocado al mundo empresarial, se utiliza para la gestión multiplataforma (PC, Mac, iOS , Android y Blackberry OS) de todos sus dispositivos, móviles y tablets.
Impacto de la vulnerabilidad
- La vulnerabilidad (CVE-2013-3693), posibilita ejecución remota de código, debido a políticas incorrectas de seguridad a la hora de restringir el acceso al entorno JBoss integrado en BES y utilizado por el servicio BlackBerry 'Universal Device Service' (UDS).
- Al ser posible acceder a este entorno JBoss a través de una interfaz Java RMI (Remote Method Invocation), los atacantes pueden desplegar servidores maliciosos y realizar conexiones especialmente manipuladas a los puertos TCP de escucha 1098 y 1099.
- Como este servicio se ejecuta en modo administración, el atacante tendrá control total del sistema y podrá ejecutar código arbitrario, aunque es necesario conocer la dirección del servicio UDS para poder realizarlo.
- Es recomendable actualizar a la nueva versión, V10.1.3
- No se ha alertado de exploits conocidos hasta el momento.
Más información:
- BlackBerry Releases Security Advisory http://www.us-cert.gov/ncas/current-activity/2013/10/09/BlackBerry-Releases-Security-Advisory
- BSRT-2013-011 Vulnerability in BlackBerry Universal Device Service
- wrapper impacts BlackBerry Enterprise Service 10 http://www.blackberry.com/btsc/KB35139
Fuente: Hispasec
