miércoles, 28 de marzo de 2001

Vulnerabilidades en Insight Manager de Compaq

Una serie de vulnerabilidades que afectan al sistema de administración
vía web de Compaq posibilitan la realización de ataques contra las
máquinas de la intranet.
El software afectado es el Compaq Insight Manager, que se incluye con
algunos de sus productos con el fin de facilitar la administración por
web de los sistemas. Una de las vulnerabilidades afecta cuanto el
producto queda con su configuración por defecto, en este caso, puede
utilizarse como servidor proxy y permitirá las conexiones tanto desde
el exterior de la red al interior y viceversa. Esta opción deberá ser
desactivada con el fin de no ser objeto de este problema.

El administrador por web Insight Manager, trabaja a través del puerto
2301, por lo que lógicamente este puerto deberá ser de uso exclusivo
para el administrador web, pero esto no ocurre así. Un atacante podría
acceder al interior de la intranet a través del puerto 2301 y
posteriormente explotar vulnerabilidades propias del sistema, con la
finalidad de hacerse con el control de la máquina atacada.

Es por todo ello, por lo que desde Hispasec recordamos a los
administradores de sistemas que no deben de abandonar la actualización
de seguridad de las máquinas de su sistema, ni hacer recaer toda su
seguridad en proxys o cortafuegos. Compaq recomienda a sus usuarios la
utilización de Insight Manager para la administración dentro de las
intranets y el uso de otras protecciones para evitar de acceso a redes
externas.

Compaq pone a disposición de sus usuarios dos parches con el fin de
evitar los problemas que afectan al software de administración web
referido, y que se pueden encontrar en la siguietne dirección:

ftp://ftp.compaq.com/pub/softpaq/sp16001-16500/



Antonio J. Román Arrebola
antonio_roman@hispasec.com


Más información:

Bugtraq. Compaq Insight Manager Proxy Vuln:
http://www.securityfocus.com/archive/1/170820

Compaq management software security vulnerability (SSRT0715):
http://www.compaq.com/products/servers/management/mgtsw-advisory.html