SALTO DE RESTRICCIONES EN “McAfee Firewall Reporter”

Fallo en el código responsable de la autenticación de los usuarios de "McAfee Firewall Reporter", (en el archivo 'GernalUtilities.pm'), podría permitir a un atacante remoto evadir las restricciones de seguridad y tomar el control del dispositivo.

McAfee Firewall Reporter es un gestor de eventos de seguridad destinado a auditar y a mantener los logs de otras aplicaciones empresariales destinadas a la seguridad de la red. Sus principales funciones son las de transformar los flujos de auditoría en información que puede ser procesada mediante una monitorización centralizada.

Detalle del fallo :

• El problema se debe a que GernalUtilities.pm no realiza ningún filtrado de los valores de entrada de la cookie interpretada.
• La lógica de programación simplemente comprueba la existencia de cierto archivo para validar al usuario, sin hacer ninguna inspección de su contenido.
• Utilizando alguna técnica de escalada de directorios, un atacante podría hacer que cierto valor de la cookie apuntase a algún archivo que existiese en el servidor, con lo que, independientemente de su contenido, conseguiría evadir las restricciones de seguridad establecidas.
• Con estos privilegios el atacante tendría acceso a la interfaz web de McAfee Firewall Reporter, lo que le permitiría desactivar el antivirus o añadir exclusiones no deseadas.

Recomendaciones :

Como el fallo ya ha sido arreglado por McAfee en la versión 5.1.0.13, lo lógico para todos los usarios de “McAfee Firewall Reporter” es actualizar a la nueva versión.

Más información en el sitio web:

https://kc.mcafee.com/corporate/index?page=content&id=SB10015

Fuente: Hispasec

ROBAN DE LOS SERVIDORES DE “WORDPRESS.COM” ĆODIGO FUENTE

Ataque de nivel bajo a varios servidores de la plataforma de blogs, ha permitido acceder a "bits sensibles" de código fuente, así como las APIs y las contraseñas de las redes sociales de los usuarios.

Detalle del ataque:

• Un intruso irrumpió ayer en WordPress.com, consiguiendo acceso a varios servidores y al código fuente con el que funcionan los blogs de sus clientes VIP, como la CNN, CBS, Flickr y TED.

• En esta ocasión, el acceso a nivel root ha facilitado la exposición en su máximo exponente a toda la información almacenada en los sistemas.

• No se han hecho público los sitios afectados, “potencialmente cualquier cosa en esos servidores puede haber sido revelada”, ha escrito Matt Mullenweg, fundador de Automattic y su servicio de hosting gratuito, en el blog corporativo de la empresa.

Clientes no afectados :

Los únicos clientes que están a salvo son aquellos que alojan el software en sus propios servidores o en "Wordpress.org".

Medidas adoptadas y consecuencias del ataque:

• La compañía se encuentra en proceso de cambiar todas las contraseñas y las claves de API que se encontraban en el código fuente.

• Muchos de los clientes de WordPress enlazan los blogs con sus cuentas en Twitter y Facebook, por lo que el hacker podría haber recolectado esta información y ser capaz de impedir el acceso a las redes sociales.

Recomendaciones :

• Mullenweg ha pedido a los usuarios que utilicen contraseñas seguras y nunca las reutilicen para distintos sitios a lo largo de la red.

• También ha recomendado usar gestores de contraseña como LastPass ó KeePass para recordar más facilmente combinaciones complicadas.

• Una vez remediado el incidente, es fundamental que los administradores realicen una auditoría de seguridad completa.

Fuente: Eweek Europe