Se han confirmado cuatro vulnerabilidades en dispositivos Blue Coat SSL Visibility Appliance SV800, SV1800, SV2800 y SV3800 (versiones 3.6.x a 3.8.3) que podrían permitir a atacantes remotos obtener la identificación de sesión de otro usuario, falsificar las sesiones y realizar acciones con los mismos permisos que el usuario víctima.
Los dispositivos SSL Visibility Appliance de Blue Coat están destinados a la gestión del tráfico cifrado, permiten aplicar políticas para el control del tráfico SSL/TLS entrante y saliente y agregar funcionalidades de inspección SSL a la arquitectura de seguridad de red.El primero de los problemas reside en una vulnerabilidad de cross-site request forgery (CSRF) (con CVE-2015-2852), lo que podría permitir a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso al servidor con los mismos permisos que el usuario atacado.
Otro problema (CVE-2015-2853) podría permitir la fijación de sesiones. Este tipo de ataques consisten en la imposición de un token de sesión, conocido por el atacante, a una víctima a la que se le induce a iniciar una sesión en la aplicación web vulnerable.
Por otra parte, los dispositivos no respeta la política de mismo origen en las cabeceras de respuesta X-Frame-Options (CVE-2015-2854). Por último, las cookies sensibles no tienen asignadas las banderas Secure o HttpOnly, un atacante que pueda escuchar el tráfico de red, podrá interceptar o manipular el identificador de sesión de la víctima (CVE-2015-2855).
Blue Coat ha publicado la versión 3.8.4 de SSL Visibility para corregir estos problemas.
Más información:
SSL Visibility Appliance web based vulnerabilities
Vulnerability Note VU#498348
Blue Coat SSL Visibility Appliance contains multiple vulnerabilities
Antonio Ropero
Twitter: @aropero
Deja una respuesta