Un fallo localizado en el código responsable de la autenticación de
‘GernalUtilities.pm’, podría permitir a un atacante remoto evadir las
restricciones de seguridad y tomar el control del dispositivo.
McAfee Firewall Reporter es un gestor de eventos de seguridad destinado
a auditar y a mantener los logs de otras aplicaciones empresariales
destinadas a la seguridad de la red. Sus principales funciones son
las de transformar los flujos de auditoría en información que puede
ser procesada mediante una monitorización centralizada.
El problema se debe a que GernalUtilities.pm no realiza ningún filtrado
de los valores de entrada de la cookie interpretada. La lógica de
programación simplemente comprueba la existencia de cierto archivo para
validar al usuario, sin hacer ninguna inspección de su contenido.
Utilizando alguna técnica de escalada de directorios, un atacante podría
hacer que cierto valor de la cookie apuntase a algún archivo que
existiese en el servidor, con lo que, independientemente de su
contenido, conseguiría evadir las restricciones de seguridad
establecidas. Con estos privilegios el atacante tendría acceso a la
interfaz web de McAfee Firewall Reporter, lo que le permitiría
desactivar el antivirus o añadir exclusiones no deseadas.
El fallo ya ha sido arreglado por McAfee en la versión 5.1.0.13.
McAfee Firewall Reporter update fixes authentication bypass issue
https://kc.mcafee.com/
