Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/11/2011
Zenprise Inc., empresa americana especialitzada en gestió, control i protecció remota de dispositius mòbils com smartphones i tablets per al mercat empresarial, posseïx dins de la seua línia de servicis el denominat Zenprise Device Manager (MDM) capaç de gestionar milers de Blackberry o iPhones de manera remota i centralitzada.
Zenprise Device Manager és un programari que permet manejar de manera centralitzada tots els dispositius mòbils d’una gran empresa a través d’una interfície web.
La firma francesa TEHTRI-Security ha descobert una fallada que permetria realitzar un atac CSRF per a enganyar un usuari autenticat (a través d’un URL especialment modificat) i robar les credencials del panell d’administració. Si eixe usuari fóra un administrador es podria realitzar qualsevol funció a què tinga accés i, per tant, arribar a bloquejar tots aquells terminals disponibles en el compte o espiar-los remotament.
A causa del tipus de vulnerabilitat, l’ampli ús d’este programari en el mercat empresarial (sobretot en grans corporacions governamentals) i la diversitat de dispositius que comprén (Android, iPhone/iPad, Blackberry, Windows Mobile, Symbian i Palm), es recomana encaridament l’aplicació de l’actualització disponible.
Zenprise Device Manager
Referències:None
Solució:Es recomana aplicar l’actualització corresponent.
Notes:Actualització
http://www.zenpriseportal.com/patches/ZP_SecPatch_618_9995.zip
VU#584363 : Zenprise Device Manager CSRF vulnerability
http://www.kb.cert.org/vuls/id/584363
[US-CERT VU#584363] Pwning a complete fleet of GSM/Tablets
http://www.tehtri-security.com/en/news.php