CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/11/2011

Vulnerabilidad en Zenprise Device Manager permitiría bloquear o espiar remotamente dispositivos móviles

Se ha descubierto un fallo en Zenprise Device Manager que permitiría realizar un ataque para robar las credenciales del panel de administración.

Riesgo: Alto

Zenprise Inc., empresa americana especializada en gestión, control y securización remota de dispositivos móviles como smartphones y tablets para el mercado empresarial, posee dentro de su línea de servicios el denominado Zenprise Device Manager (MDM) capaz de gestionar miles de Blackberry o iPhones de manera remota y centralizada.

Zenprise Device Manager es un software que permite manejar de forma centralizada todos los dispositivos móviles de una gran empresa a través de una interfaz web.

La firma francesa TEHTRI-Security ha descubierto un fallo que permitiría realizar un ataque CSRF para engañar a un usuario autenticado (a través de una URL especialmente modificada) y robar las credenciales del panel de administración. Si ese usuario fuera un administrador se podría realizar cualquier función a la que tenga acceso y por tanto llegar a bloquear todos aquellos terminales disponibles en la cuenta o espiarlos remotamente.

Debido al tipo de vulnerabilidad, el amplio uso de este software en el mercado empresarial (sobre todo en grandes corporaciones gubernamentales) y la diversidad de dispositivos que abarca (Android, iPhones/iPads, Blackberrys, Windows Mobile, Symbian y Palm), se recomienda encarecidamente la aplicación de la actualización disponible.

Sistemas Afectados:

Zenprise Device Manager

Referencias:

None

Solución:

Se recomienda aplicar la actualización correspondiente.

Notas:

Actualización
http://www.zenpriseportal.com/patches/ZP_SecPatch_618_9995.zip

VU#584363 : Zenprise Device Manager CSRF vulnerability
http://www.kb.cert.org/vuls/id/584363

[US-CERT VU#584363] Pwning a complete fleet of GSM/Tablets
http://www.tehtri-security.com/en/news.php

Fuente: Hispasec una-al-día

CSIRT-CV