McAfee
ha
confirmado una vulnerabilidad en Enterprise
Security Manager que podría permitir a un usuario malicioso evitar el mecanismo de autenticación y conseguir
acceso administrativo al servicio.
La vulnerabilidad, con CVE-2015-8024,
afecta a los productos McAfee Enterprise Security Manager (ESM), Enterprise
Security Manager/Log Manager (ESMLM) y Enterprise Security Manager/Receiver
(ESMREC) 9.3.2, 9.4.2 y 9.5.0, cuando están configurados para usar autenticación
a través de Directorio Activo o LDAP. El problema podría permitir a atacantes remotos
evitar la validación de la contraseña accediendo
al servicio con el nombre de usuario "NGCP|NGCP|NGCP;" y cualquier
contraseña.
McAfee ha publicado actualizaciones para los productos afectados, disponibles
desde el sitio de descargas de productos:
- Para SIEM ESM 9.5.0
ESS_Update_9.3.2.signed.tgz
ESSREC_Update_9.3.2.signed.tgz - Para SIEM
ESM 9.4.2ESS_Update_9.4.2.signed.tgz
ESSREC_Update_9.4.2.signed.tgz - Para SIEM
ESM 9.3.2
ESS_Update_9.5.0MR7.signed.tgz
ESSREC_Update_9.5.0MR7.signed.tgz
Como contramedida se recomienda desactivar la autenticación
a través de Directorio Activo y LDAP. La vulnerabilidad no afecta si McAfee
Enterprise Security Manager emplea autenticación local.
Más información:
Intel Security - Security Bulletin: SIEM ESM,
ESMREC, and ESMLM updates fix authentication bypass vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario