Se ha anunciado una vulnerabilidad en RSA Authentication Manager
(versión 7.1 en todas las plataformas, incluyendo Appliance 3.0) que podría
permitir a un atacante la construcción de ataques de cross-frame scripting.
RSA Authentication Manager es un
software de control de acceso para proteger los recursos y datos confidenciales
en la empresa y en la nube, sin importar el dispositivo utilizado (desde
dispositivos internos de la red empresarial o mediante móviles).
Detalle e Impacto de la vulnerailidad
- El problema (con CVE-2014-0623) reside en que la Consola Self-Service no filtra adecuadamente el código HTML introducido por el usuario antes de mostrar la entrada. Un usuario remoto puede construir ataques cross-frame scripting para obtener información de los usuarios atacados.
- Los ataques de Cross-Frame Scripting (XFS) es otro método para explotar los ya conocidos Cross-Site Scripting (XSS). En un ataque XFS, el atacante aprovecha un fallo específico en un navegador para acceder a datos privados de un tercer sitio web. El atacante induce al usuario a acceder a una página web controlada por él; la página del atacante carga una página de un tercero en un frame HTML; y entonces mediante la ejecución de JavaScript en la página del atacante puede robar datos de la página del tercero.
- RSA ha publicado la actualización 7.1 SP4 P32 disponible desde, https://knowledge.rsasecurity.com
- ESA-2014-015: RSA® Authentication Manager Cross Frame Scripting Vulnerability http://seclists.org/bugtraq/2014/Mar/att-145/ESA-2014-015.txt