Se
ha publicado una vulnerabilidad en McAfee
SmartFilter que podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario con los
permisos del usuario "SYSTEM".
McAfee SmartFilter es una
herramienta de monitorización y filtrado del uso de la red. Es una solución en
empresas para filtrar la navegación según categorías o reputación y evitar
además amenazas de malware.
Andrea Micalizzi, también
conocido por su nick "rgod",
descubrió en noviembre del pasado año una vulnerabilidad en el servidor de administración
de McAfee SmartFilter, que ahora se ha publicado
a través de ZDI al estar disponible la solución. El error se debe a que el
proceso "SFAdminSrv.exe"
deja expuestos varios componentes "RMI"
(método remoto de invocación) en los siguientes puertos TCP, cuyas peticiones
no son autenticadas:
- 1098: rmiactivation
- 1099: rmiregistry
- 4444: JBoss RMI HTTPInvoker
De esta forma un atacante remoto
podría aprovechar estas peticiones para crear instancias de clases arbitrarias,
subir archivos, y ejecutar código arbitrario con los privilegios del usuario
"SYSTEM" en el servidor de
administración de McAfee SmartFilter.
La vulnerabilidad, aunque no ha
recibido identificador CVE, ha sido valorada con la máxima gravedad debido a su
facilidad de explotación y su impacto
(CVSS: 10).
Afecta a las versiones de McAfee
SmartFilter Administration anteriores a la 4.2.1. El parche 4.2.1.01 que
corrige esta vulnerabilidad se encuentra disponible para su descarga en lapágina oficial de McAfee.
Más información:
McAfee Security Bulletin - McAfee SmartFilter
Administration 4.2.1 and earlier - Unauthenticated access to JBOSS RMI
interface
McAfee SmartFilter Administration Server
SFAdminSrv.exe JBoss RMI Remote Code Execution Vulnerabilty
Juan José Ruiz
No hay comentarios:
Publicar un comentario