Программа Enterprise Security Manager (ESM) ориентирована в основном на корпоративных пользователей. ESM, это инструмент для мониторинга и анализа всего происходящего в системах, сетях, базах данных и приложениях в режиме реального времени. Но порой решения, созданные для повышения безопасности, напротив, ее подрывают.
3 декабря 2015 года компания McAfee, без лишнего шума, представила бюллетень безопасности SB10137. Документ рассказывает о серьезной проблеме в Enterprise Security Manager.
Сообщается, что с помощью «сконструированного определенным образом имени пользователя» можно миновать аутентификацию Security Information & Event Management, проникнув в систему без ввода пароля.
Данный баг срабатывает лишь в том случае, если ESM настроен на использование Active Directory или LDAP. Если настройки соответствуют, атакующий получает доступ к NGCP – дефолтному имени пользователя, которое создается при первой установке. Пароль у злоумышленника опять же никто не спрашивает.
Уязвимость получила идентификатор CVE-2015-8024. Проблема затрагивает McAfee Enterprise Security Manager (ESM), Enterprise Security Manager/Log Manager (ESMLM), Enterprise Security Manager/Receiver (ESMREC) 9.3.x до 9.3.2MR19, 9.4.x до 9.4.2MR9 и 9.5.x до 9.5.0MR8.
Если в конфигурации программ включено использование Active Directory или LDAP, удаленному атакующему достаточно ввести логин «NGCP|NGCP|NGCP» и любой пароль для проникновения в систему.
McAfee настоятельно рекомендует всем пользователям обновиться. Если такой возможности нет, стоит хотя бы отключить в Enterprise Security Manager аутентификацию через Active Directory и LDAP.
Фото: Nick Carter
