domingo, 21 de julio de 2013

Vulnerabilidades en McAfee ePolicy Orchestrator

Se han anunciado diversos problemas de seguridad en McAfee ePolicy Orchestrator que podrían permitir la realización de ataques de Cross-Site Scripting y de inyección SQL.


McAfee ePolicy Orchestrator, también conocido como McAfee ePo, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.

Estos problemas de seguridad afectan a McAfee ePolicy Orchestrator 4.6.6 (y versiones anteriores) y a ePO Extension para McAfee Agent (MA) 4.5 a 4.6.

Se han detectado multiples scripts que no filtran de forma adecuada el código HTML de las entradas de usuario antes de ser devueltas al usuario. Esto permite a usuarios remotos generar ataques de cross-site scripting que podrían permitir la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Los archivos afectados son los siguientes:
    /core/loadDisplayType.do [parámetro instanceId]
    /console/createDashboardContainer.do [parámetro monitorUrl]
    /console/createDashboardContainer.do [parámetro monitorUrl]
    /ComputerMgmt/sysDetPanelBoolPie.do [parámetro uid]
    /ComputerMgmt/sysDetPanelQry.do [parámetro uid]
    /ComputerMgmt/sysDetPanelQry.do [parámetro sysDetPanelQry]
    /ComputerMgmt/sysDetPanelSummary.do [parámetro sysDetPanelSummary]
    /ComputerMgmt/sysDetPanelSummary.do [parámetro uid]

Un segundo problema reside en la posibilidad de realizar ataques de inyección SQL ciega. Solo usuarios autenticados pueden explotar esta vulnerabilidad que reside en los siguientes archivos .do:
/core/showRegisteredTypeDetails.do [parámetro uid]
/EPOAGENTMETA/DisplayMSAPropsDetail.do [parámetro uid]

Los problemas de cross-site scriptong se solucionarán en ePO 4.6.7, que está planificado para publicar a finales del tercer cuatrimestre del 2013. 

Más información:

Multiple Vulnerabilities in ePO 4.6.6 and earlier

McAfee Security Bulletin – McAfee ePO Extension for McAfee Agent 4.5 and 4.6 Blind SQL Injection Vulnerability



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada