Se
han confirmado cuatro vulnerabilidades en dispositivos Blue Coat SSL Visibility
Appliance SV800, SV1800, SV2800 y SV3800 (versiones 3.6.x a 3.8.3) que podrían
permitir a atacantes remotos obtener la identificación de sesión de otro
usuario, falsificar las sesiones y realizar acciones con los mismos permisos
que el usuario víctima.
Los dispositivos SSL Visibility
Appliance de Blue Coat están destinados a la gestión del tráfico cifrado, permiten aplicar políticas para el control
del tráfico SSL/TLS entrante y saliente y agregar funcionalidades de inspección
SSL a la arquitectura de seguridad de red.
El primero de los problemas
reside en una vulnerabilidad de cross-site request forgery (CSRF) (con CVE-2015-2852),
lo que podría permitir a un atacante ejecutar funcionalidades de una web
determinada a través de la sesión de otro usuario en esa web. De esta forma un
atacante podría tener acceso al servidor con los mismos permisos que el usuario
atacado.
Otro problema (CVE-2015-2853)
podría permitir la fijación de sesiones. Este tipo de ataques consisten en la
imposición de un token de sesión, conocido por el atacante, a una víctima a la
que se le induce a iniciar una sesión en la aplicación web vulnerable.
Por otra parte, los dispositivos
no respeta la política de mismo origen en las cabeceras de respuesta X-Frame-Options
(CVE-2015-2854). Por último, las cookies sensibles no tienen asignadas las
banderas Secure o HttpOnly, un atacante que pueda escuchar el tráfico de red,
podrá interceptar o manipular el identificador de sesión de la víctima (CVE-2015-2855).
Blue Coat ha publicado la versión
3.8.4 de SSL Visibility para corregir estos problemas.
Más información:
SSL Visibility Appliance web based
vulnerabilities
Vulnerability Note VU#498348
Blue Coat SSL Visibility Appliance contains
multiple vulnerabilities
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario