CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/11/2011

Vulnerabilitat en Zenprise Device Mànager permetria bloquejar o espiar remotament dispositius mòbils

S’ha descobert una fallada en Zenprise Device Manager que permetria realitzar un atac per a robar les credencials del panell d’administració.

Risc: Alt

Zenprise Inc., empresa americana especialitzada en gestió, control i protecció remota de dispositius mòbils com smartphones i tablets per al mercat empresarial, posseïx dins de la seua línia de servicis el denominat Zenprise Device Manager (MDM) capaç de gestionar milers de Blackberry o iPhones de manera remota i centralitzada.

Zenprise Device Manager és un programari que permet manejar de manera centralitzada tots els dispositius mòbils d’una gran empresa a través d’una interfície web.

La firma francesa
TEHTRI-Security ha descobert una fallada que permetria realitzar un atac CSRF per a enganyar un usuari autenticat (a través d’un URL especialment modificat) i robar les credencials del panell d’administració. Si eixe usuari fóra un administrador es podria realitzar qualsevol funció a què tinga accés i, per tant, arribar a bloquejar tots aquells terminals disponibles en el compte o espiar-los remotament.

A causa del tipus de vulnerabilitat, l’ampli
ús d’este programari en el mercat empresarial (sobretot en grans corporacions governamentals) i la diversitat de dispositius que comprén (Android, iPhone/iPad, Blackberry, Windows Mobile, Symbian i Palm), es recomana encaridament l’aplicació de l’actualització disponible.

Sistemes Afectats:

Zenprise Device Manager

Referències:

None

Solució:

Es recomana aplicar l’actualització corresponent.

Notes:

Actualització
http://www.zenpriseportal.com/patches/ZP_SecPatch_618_9995.zip

VU#584363 : Zenprise Device Manager CSRF vulnerability
http://www.kb.cert.org/vuls/id/584363

[US-CERT VU#584363] Pwning a complete fleet of GSM/Tablets
http://www.tehtri-security.com/en/news.php

Font: Hispasec una-al-día

CSIRT-CV