Ejecución de código arbitrario en versiones de McAfee SmartFilter anteriores a 4.2.1. (El parche 4.2.1.01 corrige esta vulnerabilidad)
Se ha publicado una vulnerabilidad en McAfee SmartFilter que podría
permitir a un atacante remoto sin autenticar ejecutar código arbitrario
con los permisos del usuario “SYSTEM”.
McAfee SmartFilter es una herramienta de monitorización y filtrado del
uso de la red. Es una solución en empresas para filtrar la navegación
según categorías o reputación y evitar además amenazas de malware.
Andrea Micalizzi, también conocido por su nick “rgod”, descubrió en
noviembre del pasado año una vulnerabilidad en el servidor de
administración de McAfee SmartFilter, que ahora se ha publicado a través
de ZDI al estar disponible la solución. El error se debe a que el
proceso “SFAdminSrv.exe” deja expuestos varios componentes “RMI” (método
remoto de invocación) en los siguientes puertos TCP, cuyas peticiones no
son autenticadas:
* 1098: rmiactivation
* 1099: rmiregistry
* 4444: JBoss RMI HTTPInvoker
De esta forma un atacante remoto podría aprovechar estas peticiones para
crear instancias de clases arbitrarias, subir archivos, y ejecutar
código arbitrario con los privilegios del usuario “SYSTEM” en el
servidor de administración de McAfee SmartFilter.
La vulnerabilidad, aunque no ha recibido identificador CVE, ha sido
valorada con la máxima gravedad debido a su facilidad de explotación y
su impacto (CVSS: 10).
Afecta a las versiones de McAfee SmartFilter Administration anteriores a
la 4.2.1. El parche 4.2.1.01 que corrige esta vulnerabilidad se
encuentra disponible para su descarga en la página oficial de McAfee. Ver : https://kc.mcafee.com/corporate/index?page=content&id=KB56057
Fuente
Más información:
McAfee Security Bulletin – McAfee SmartFilter Administration 4.2.1 and earlier –
Unauthenticated access to JBOSS RMI interface
https://kc.mcafee.com/corporate/index?page=content&id=SB10029
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.