jueves, 24 de mayo de 2018

Vulnerabilidades críticas descubiertas en dispositivos Dell


Una investigación realizada recientemente, revelo seis vulnerabilidades en los dispositivos Dell EMC RecoverPoint. Una de las fallas encontradas permite a los atacantes ejecutar código remoto no autenticado con privilegios de administrador.

Un equipo de expertos en seguridad informatica explica en una publicación, que si un atacante sin conocimiento de ninguna credencial tiene visibilidad de un dispositivo RecoverPoint en la red o acceso local a ella, puede obtener control sobre RecoverPoint y su sistema operativo Linux subyacente.

Las vulnerabilidades encontradas, afectan todas las versiones de Dell EMC RecoverPoint anteriores a 5.1.2 y RecoverPoint para máquinas virtuales anteriores a 5.1.1.3.

La vulnerabilidad mas critica, es CVE-2018-1235, CVSS 9.8, que permite que un atacante con visibilidad de un dispositivo RecoverPoint en la red obtenga control sobre el sistema operativo Linux subyacente.

Los investigadores de Foregenix comentaron que durante un contrato con un cliente no identificado, una vez que los investigadores tuvieron el control de los dispositivos RecoverPoint, fue posible explotar las vulnerabilidades de otro zero day descubiertas para pivotar y obtener el control de la red de Directorio Activo de Microsoft con la que se integraron los RecoverPoints.

Po otro lado, la vulnerabilidad CVE-2018-1242, le dio a un atacante con acceso al menú administrativo de boxmgmt la posibilidad de leer archivos del sistema de documentos a los que solo puede acceder el usuario de boxmgmt.

Una tercera vulnerabilidad, mostro que RecoverPoint pierde las credenciales de texto claro en un archivo de registro, comentaron los profesionales en seguridad informatica.

Dell EMC emitió un aviso DSA-2018-095 el 21 de mayo. Pero los tres errores permanecen sin parche hasta ahora. Estas vulnerabilidades no tienen CVEs emitidos. Se encontró en uno de estos errores, que RecoverPoint se envió con un hash de contraseña del sistema almacenado en un archivo legible para cualquiera. En un segundo error, se descubrió que RecoverPoint usa una contraseña de root codificada que solo se puede cambiar poniéndose en contacto con el proveedor. En cuanto a la tercera vulnerabilidad, es una opción de configuración insegura que permite que las credenciales LDAP enviadas por RecoverPoint sean interceptadas por los atacantes.

En cuanto a esta última vulnerabilidad, los profesionales en seguridad informatica, recomiendan a los clientes de RecoverPoint que se aseguren de que si se requiere integración LDAP, está configurado para vincularse de forma segura.

El especialista en seguridad de Performanta, Nicholas Griffin, comento que los atacantes podrían hacer uso de estas vulnerabilidades para robar las copias de seguridad de datos, utilizando dispositivos RecoverPoint vulnerables.

“La visibilidad de las credenciales LDAP podría permitir a un actor malicioso obtener acceso a otros recursos clave en la red, o incluso comprometer el dominio de Active Directory”, comento el experto en seguridad informatica.

El analista de Bitdefender, Liviu Arsene, dijo que prevenir estos ataques es una cuestión de defensa de seguridad de toda la organización, que sea capaz de defender no solo puntos finales, sino también activar una advertencia de seguridad indicativa de posibles infracciones de seguridad.