Ejecución de código arbitrario en versiones de McAfee SmartFilter anteriores a 4.2.1. (El parche 4.2.1.01 corrige esta vulnerabilidad)

---

Se ha publicado una vulnerabilidad en McAfee SmartFilter que podría

permitir a un atacante remoto sin autenticar ejecutar código arbitrario

con los permisos del usuario "SYSTEM".



McAfee SmartFilter es una herramienta de monitorización y filtrado del

uso de la red. Es una solución en empresas para filtrar la navegación

según categorías o reputación y evitar además amenazas de malware.



Andrea Micalizzi, también conocido por su nick "rgod", descubrió en

noviembre del pasado año una vulnerabilidad en el servidor de

administración de McAfee SmartFilter, que ahora se ha publicado a través

de ZDI al estar disponible la solución. El error se debe a que el

proceso "SFAdminSrv.exe" deja expuestos varios componentes "RMI" (método

remoto de invocación) en los siguientes puertos TCP, cuyas peticiones no

son autenticadas:



* 1098: rmiactivation

* 1099: rmiregistry

* 4444: JBoss RMI HTTPInvoker



De esta forma un atacante remoto podría aprovechar estas peticiones para

crear instancias de clases arbitrarias, subir archivos, y ejecutar

código arbitrario con los privilegios del usuario "SYSTEM" en el

servidor de administración de McAfee SmartFilter.



La vulnerabilidad, aunque no ha recibido identificador CVE, ha sido

valorada con la máxima gravedad debido a su facilidad de explotación y

su impacto (CVSS: 10).



Afecta a las versiones de McAfee SmartFilter Administration anteriores a

la 4.2.1. El parche 4.2.1.01 que corrige esta vulnerabilidad se

encuentra disponible para su descarga en la página oficial de McAfee. Ver https://kc.mcafee.com/corporate/index?page=content&id=KB56057



http://unaaldia.hispasec.com/2012/08/ejecucion-de-codigo-arbitrario-en.html



Más información:



McAfee Security Bulletin - McAfee SmartFilter Administration 4.2.1 and earlier -

Unauthenticated access to JBOSS RMI interface

https://kc.mcafee.com/corporate/index?page=content&id=SB10029