Ejecución remota de comandos en productos Trend Micro

Mas
Ejecución remota de comandos en productos Trend Micro

Una vez más sale a la luz una vulnerabilidad reportada por Project Zero de Google. En esta ocasión diversos productos Trend Micro se ven afectador por un sencillo problema que podría permitir la ejecución remota de comandos arbitrarios.

Tavis Ormandy, el conocido investigador de Google, ha descubierto un stub remoto de depuración de Node.js en los productos Trend Micro Maximum Security, Premium Security y Password Manager. El propio Tavis ha calificado el fallo como ridículo.

Un stub es una clase que implementa la interfaz remota de forma que cualquiera puede utilizarla como si se tratara de una local. Básicamente se trata de un servidor que implementa ciertos métodos sobre los cuales se puede ejecutar código Javascript. Este tipo de sistema es usado en labores de depuración pero, tal y como suele ser habitual en este tipo de funcionalidad, su explotación suele ser trivial mientras que su impacto puede llegar a ser crítico si este servicio llega a publicarse en producción.

El problema es realmente sencillo de explotar. Con la configuración por defecto al arrancar los productos afectados el stub de depuración Node.js se inicia y escucha en localhost, el único problema reside en que el puerto de escucha puede cambiar.

De forma que para explotar el fallo basta con realizar algo similar: http://localhost:Puerto/json/new/?javascript:require('child_process').spawnSync('cal c.exe')

Basta un sencillo bucle para encontrar el puerto en el que el stub se encuentra a la escucha.

El problema se reportó a Trend Micro el 22 de marzo, que reaccionó rápidamente y publicó un parche temporal el día 30. Según el investigador, en determinadas circunstancias, aun con el parche provisional instalado, podría seguir siendo vulnerable. De todas formas, dada la gravedad del problema, Trend Micro ha publicado ya versiones actualizadas y trabaja en una versión definitiva.

No es la primera vez que Tavis Ormandy centra sus descubrimientos en productos de seguridad, incluyendo Kaspersky, FireEye, ESET o Sophos.

El pasado septiembre, el investigador también avisó de fuertes evidencias de la existencia de un mercado negro muy activo en vulnerabilidades en productos de seguridad. Por esta razón consideraba que los fabricantes de productos de seguridad tienen la responsabilidad de mantener los más altos estándares de desarrollo seguro para minimizar el posible daño potencial causado por su software.

TrendMicro: A remote debugger stub is listening in default install
https://bugs.chromium.org/p/project-zero/issues/detail?id=773

Suscríbase a nuestro Newsletter:

Click aquí!

Seguridad Administrada

La Mejor Solucion a su Medida



A menudo su empresa no cuenta con recursos o presupuestos asignado para proteger la seguridad de su información. Que esto no signifique que sus necesidades en materia de seguridad se hagan críticas.

Enlaces


Catalogo de productos Fortinet

Veeam

Eset

vmware

Exinda

Manage Engine

Sophos

Viamonte 723 piso 3ro. Of. 12 - C1053ABO
Ciudad Autónoma de Buenos Aires, Argentina.
Tel: +54 11 5218 4242 - Fax: +54 11 5218 4245
info@globalgate.com.ar
Política de USO GlobalGate - 2019 - Todos los derechos reservados