Basalt hittar fler sårbarheter i McAfee ePolicy Orchestrator vid penetrationstest

Inom ett penetrationstestuppdrag för en kund har Basalt upptäckt sårbarheterna CVE-2018-6659 och CVE-2018-6660 i programvaran ePolicy Orchestrator. McAfee har publicerat i säkerhetsbulletin SB10228 med information och rättningar. McAfee ePolicy Orchestrator är en skalbar centraliserad säkerhetshanteringsprogramvara som effektiviserar hanteringen av säkerhet för företag. Mjukvaran hanterar bland annat antivirus på klienter och används oftast i Enterprisemiljöer.

McAfee EPO används av cirka 30.000 kunder och hanterar cirka 60 miljoner noder enligt McAfee själva. (https://www.mcafee.com/in/resources/data-sheets/ds-epolicy-orchestrator.pdf).

Sårbarheten CVE-2018-6660 som Basalt har hittat är av typen Directory Traversal vilket gör det möjligt för en angripare att skriva över godtyckliga XML filer på målsystemet. Sårbarheten kunde även kombineras med Windows alternate data streams för att skapa godtyckliga filändelser etc. Sårbarheten kategoriseras som medium med CVSS v3 poäng 6,2. Hypotetisk skulle denna sårbarhet kunna utnyttjas av en angripare för att exempelvis utföra Denial of Service (DoS).

Den andra sårbarheten (CVE-2018-6659) som hittades är av typen reflekterad XSS vilket innebär att exempelvis JavaScript kod kan användas som indata till en parameter. Koden reflekteras sedan av webbsidan på grund av otillräcklig filtrering. Sårbarheten kategoriseras som låg med CVSS v3 poäng 3,7. Hypotetisk skulle denna sårbarhet kunna utnyttjas av en angripare för att utföra uppgifter genom en annan användares webbläsare, exempelvis stjäla cookies.

För mer information se: https://kc.mcafee.com/corporate/index?page=content&id=SB10228

Basalt och McAfee rekommenderar alla användare att installera de Hotfix som har publicerats av McAfee.

Vid ett tidigare penetrationstest av McAfee ePO hittades en mer allvarlig Directory Traversal. Mer information om denna finns här.