McAfee ha confirmado una vulnerabilidad en Enterprise Security Manager que podría permitir a un usuario malicioso evitar el mecanismo de autenticación y conseguir acceso administrativo al servicio.
McAfee Enterprise Security Manager ofrece información en tiempo real de amenazas y reputación, y estado de vulnerabilidades y permite ver los sistemas, datos, riesgos y actividades de la empresa.
La vulnerabilidad, con CVE-2015-8024, afecta a los productos McAfee Enterprise Security Manager (ESM), Enterprise Security Manager/Log Manager (ESMLM) y Enterprise Security Manager/Receiver (ESMREC) 9.3.2, 9.4.2 y 9.5.0, cuando están configurados para usar autenticación a través de Directorio Activo o LDAP. El problema podría permitir a atacantes remotos evitar la validación de la contraseña accediendo al servicio con el nombre de usuario “NGCP|NGCP|NGCP;” y cualquier contraseña.
McAfee ha publicado actualizaciones para los productos afectados, disponibles desde el sitio de descargas de productos:
- Para SIEM ESM 9.5.0
ESS_Update_9.3.2.signed.tgz
ESSREC_Update_9.3.2.signed.tgz - Para SIEM ESM 9.4.2ESS_Update_9.4.2.signed.tgz
ESSREC_Update_9.4.2.signed.tgz - Para SIEM ESM 9.3.2
ESS_Update_9.5.0MR7.signed.tgz
ESSREC_Update_9.5.0MR7.signed.tgz
Como contramedida se recomienda desactivar la autenticación a través de Directorio Activo y LDAP. La vulnerabilidad no afecta si McAfee Enterprise Security Manager emplea autenticación local.
Más información:
Intel Security – Security Bulletin: SIEM ESM, ESMREC, and ESMLM updates fix authentication bypass vulnerability
Antonio Ropero
Twitter: @aropero
Deja un comentario