Posteado por: Guaiqueri | Miércoles, agosto 22nd, 2012

Ejecución de código arbitrario en McAfee SmartFilter

Se ha publicado una vulnerabilidad en McAfee SmartFilter que podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario con los permisos del usuario “SYSTEM“.
 
McAfee SmartFilter es una herramienta de monitorización y filtrado del uso de la red. Es una solución en empresas para filtrar la navegación según categorías o reputación y evitar además amenazas de malware.
Andrea Micalizzi, también conocido por su nick “rgod“, descubrió en noviembre del pasado año una vulnerabilidad en el servidor de administración de McAfee SmartFilter, que ahora se ha publicado a través de ZDI al estar disponible la solución. El error se debe a que el proceso “SFAdminSrv.exe” deja expuestos varios componentes “RMI” (método remoto de invocación) en los siguientes puertos TCP, cuyas peticiones no son autenticadas:
  • 1098: rmiactivation
  • 1099: rmiregistry
  • 4444: JBoss RMI HTTPInvoker
De esta forma un atacante remoto podría aprovechar estas peticiones para crear instancias de clases arbitrarias, subir archivos, y ejecutar código arbitrario con los privilegios del usuario “SYSTEM” en el servidor de administración de McAfee SmartFilter.
La vulnerabilidad, aunque no ha recibido identificador CVE, ha sido valorada con la máxima gravedad debido a su facilidad de explotación y su impacto (CVSS: 10).
Afecta a las versiones de McAfee SmartFilter Administration anteriores a la 4.2.1. El parche 4.2.1.01 que corrige esta vulnerabilidad se encuentra disponible para su descarga en lapágina oficial de McAfee.
Más información:
McAfee Security Bulletin – McAfee SmartFilter Administration 4.2.1 and earlier – Unauthenticated access to JBOSS RMI interface
McAfee SmartFilter Administration Server SFAdminSrv.exe JBoss RMI Remote Code Execution Vulnerabilty
Fuente: HispaSec
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: