Программа Enterprise Security Manager (ESM) ориентирована в основном на корпоративных пользователей. ESM, это инструмент для мониторинга и анализа всего происходящего в системах, сетях, базах данных и приложениях в режиме реального времени. Но порой решения, созданные для повышения безопасности, напротив, ее подрывают.

3 декабря 2015 года компания McAfee, без лишнего шума, представила бюллетень безопасности SB10137. Документ рассказывает о серьезной проблеме в Enterprise Security Manager.

Сообщается, что с помощью «сконструированного определенным образом имени пользователя» можно миновать аутентификацию Security Information & Event Management, проникнув в систему без ввода пароля.

Данный баг срабатывает лишь в том случае, если ESM настроен на использование Active Directory или LDAP. Если настройки соответствуют, атакующий получает доступ к NGCP – дефолтному имени пользователя, которое создается при первой установке. Пароль у злоумышленника опять же никто не спрашивает.

Уязвимость получила идентификатор CVE-2015-8024. Проблема затрагивает McAfee Enterprise Security Manager (ESM), Enterprise Security Manager/Log Manager (ESMLM), Enterprise Security Manager/Receiver (ESMREC) 9.3.x до 9.3.2MR19, 9.4.x до 9.4.2MR9 и 9.5.x до 9.5.0MR8.

Если в конфигурации программ включено использование Active Directory или LDAP, удаленному атакующему достаточно ввести логин «NGCP|NGCP|NGCP» и любой пароль для проникновения в систему.

McAfee настоятельно рекомендует всем пользователям обновиться. Если такой возможности нет, стоит хотя бы отключить в Enterprise Security Manager аутентификацию через Active Directory и LDAP.

Фото: Nick Carter



2 комментария

  1. Jeffrey Davis

    08.12.2015 at 12:21

    порой решения, созданные для повышения безопасности, напротив, ее подрывают

    Ну, классно же.
    McAfee, так держать.

    • John Cramer

      09.12.2015 at 11:01

      Ситуация давно известная: наймите алкаша сторожить склад — он и от воров не спасёт, и сам половину товара пропьёт! 🙂

Оставить мнение