lunes, 7 de diciembre de 2015

Salto de autenticación en McAfee Enterprise Security Manager

McAfee ha confirmado una vulnerabilidad en Enterprise Security Manager que podría permitir a un usuario malicioso evitar el mecanismo de autenticación y conseguir acceso administrativo al servicio.

McAfee Enterprise Security Manager ofrece información en tiempo real de amenazas y reputación, y estado de vulnerabilidades y permite ver los sistemas, datos, riesgos y actividades de la empresa.

La vulnerabilidad, con CVE-2015-8024, afecta a los productos McAfee Enterprise Security Manager (ESM), Enterprise Security Manager/Log Manager (ESMLM) y Enterprise Security Manager/Receiver (ESMREC) 9.3.2, 9.4.2 y 9.5.0, cuando están configurados para usar autenticación a través de Directorio Activo o LDAP. El problema podría permitir a atacantes remotos evitar la validación de la contraseña accediendo al servicio con el nombre de usuario "NGCP|NGCP|NGCP;" y cualquier contraseña.

McAfee ha publicado actualizaciones para los productos afectados, disponibles desde el sitio de descargas de productos:

  • Para SIEM ESM 9.5.0
    ESS_Update_9.3.2.signed.tgz
    ESSREC_Update_9.3.2.signed.tgz
  • Para SIEM ESM 9.4.2ESS_Update_9.4.2.signed.tgz
    ESSREC_Update_9.4.2.signed.tgz
  • Para SIEM ESM 9.3.2
    ESS_Update_9.5.0MR7.signed.tgz
    ESSREC_Update_9.5.0MR7.signed.tgz
Como contramedida se recomienda desactivar la autenticación a través de Directorio Activo y LDAP. La vulnerabilidad no afecta si McAfee Enterprise Security Manager emplea autenticación local.

Más información:

Intel Security - Security Bulletin: SIEM ESM, ESMREC, and ESMLM updates fix authentication bypass vulnerability



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada