Symantec ha confirmado tres vulnerabilidades en Symantec Endpoint Protection que podrían permitir realizar ataques de inyección SQL, Cross-Site Request Forgery o evitar restricciones de seguridad.
Endpoint Protection es una suite de seguridad que engloba protección antivirus y cortafuegos corporativo. Ofrece seguridad tanto para servidores, estaciones de trabajo o entornos virtuales. Es un producto multiplataforma que cuenta con una consola para su administración de forma remota.
La consola de administración de Symantec Endpoint Protection Manager (SEPM) es vulnerable a un ataque de cross-site request forgery debido a unas comprobaciones de seguridad insuficientes. En este caso un atacante con permisos menores podría conseguir elevar sus privilegios en la administración SEPM.
Otra vulnerabilidad en la consola SEPM (Symantec Endpoint Protection Manager) se debe a que no se tratan adecuadamente las entradas SQL. Lo que podría permitir a un usuario autenticado realizar un ataque de inyección SQL.
Por último, el driver sysplant se carga como parte del componente ADC (Application and Device Control) de un cliente SEP si ADC está instalado y activo en el cliente. Este controlador no realiza las validaciones suficientes o protege contra entradas externas, lo que podría permitir ejecutar código arbitrario en el sistema cliente con los privilegios de usuario autenticado.
Se han asignado los CVE-2015-8152 al CVE-2015-8154. Se ven afectadas las versiones Symantec Endpoint Protection Manager y cliente 12.1. Symantec ha publicado Endpoint Protection (SEP) 12.1-RU6-MP4 que soluciona los problemas y que se encuentra disponible desde Symantec File Connect.
Más información:
Security Advisories Relating to Symantec Products – Symantec Endpoint Protection Multiple Security Issues
Antonio Ropero
Twitter: @aropero
Deja una respuesta