Network ICE anuncia una tecnología «anti-hackers» revolucionaria, con
productos que combinan firewalls y detección de intrusos para ofrecer
una protección global. Esta presentación contrasta con la existencia
de una cuenta por defecto sin contraseña que permite acceder a
información sensible, enviar falsas alertas a los administradores y,
lo más grave, ejecutar comandos de forma remota.
ICEcap Manager permite el control y administración de los BlackICE
Agents, que son los componentes que Networt ICE instala en los
sistemas para actuar como firewalls, analizar el tráfico de la red,
e identificar y avisar de situaciones anómalas. El módulo ICECap
puede ser consultado por un navegador, por lo que existe un servidor
web accesible a través del puerto 8081, así mismo posee abierto el
puerto 8082 donde escucha y recoge las alertas que envían los
agentes BlackICE.

El problema es que Network ICE introduce una cuenta por defecto
con el nombre de usuario «iceman» sin contraseña que permite, a
cualquiera que conozca su existencia, visualizar toda la información
de seguridad del sistema a través del puerto 8081, así como enviar
falsas alarmas a través del puerto 8082.

La vulnerabilidad se agrava debido al método utilizado por Network
ICE para almacenar las alertas, usando bases de datos Access (.mdb)
con el controlador Microsoft Jet 3.5, que permite introducir
registros que contengan comandos y forzar su ejecución aprovechando
una vulnerabilidad en el shell de Visual Basic para Aplicaciones.

Network ICE ofrece una actualización de su software donde corrige
estos problemas: http://update.networkice.com/cgi/ic2023a.exe?

Más información:
Network ICE
Security vulnerability in ICEcap
Security vulnerability in ICEcap with Jet engine
Rain Forest Puppy

Bernardo Quintero
bernardo@hispasec.com

Compártelo: