Allvarlig sårbarhet i McAfee ePolicy Orchestrator

Talos har upptäckt en blind SQL-injection i  ePolicy Orchestrator är en populär mjukvara i många enterprise-nätverk och något som jag ofta stöter på vid mina penetrationstester.

Sårbarheten har fått CVE-2016-8027 och gäller versioner av ePolicy Orchestrator (ePO) 5.1.3 och äldre, ePO 5.3.2 och äldre.

används för att centralt managera klienter som kör . Klienterna pratar med servern över ett protokoll som heter SPIPE och servern har även en webbserver, Apache Tomcat som går på tcp port 8443.

Sårbarheten ligger i hur klientens GUID-värde (unika klient ID) skickas vidare in mot underliggande databas. På grund av en bristande filtrering så går detta värde direkt in mot databasen. Denna sårbarhet gäller dock enbart http post och inte SPIPE-kommunikationen, klienten kan prata med servern på båda protokoll.

För att förhindra denna sårbarhet bör klienter inte ha möjlighet att ansluta direkt på port 8443 till ePO-servern. Detta bör enbart administratörer ha behörighet att göra.

Det är oklart vad detta får för konsekvenser på klienter som använder servern om sårbarheten utnyttjas. Går det exempelvis att köra godtycklig kod på samtliga klienter?

CVSS3 (Common Vulnerability Scoring System) enligt följande:

8.2 - CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

Mer tekniska detaljer om sårbarheten finnes i detaljerade rapport.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>