|
Título: Vulnerabilidad en Zenprise Device Manager permitiría bloquear o espiar ... Publicado por: wolfbcn en 22 Noviembre 2011, 13:16 pm Se ha descubierto un fallo en Zenprise Device Manager que permitiría realizar un ataque para robar las credenciales del panel de administración.
Zenprise Inc., empresa americana especializada en gestión, control y securización remota de dispositivos móviles como smartphones y tablets para el mercado empresarial, posee dentro de su línea de servicios el denominado Zenprise Device Manager (MDM) capaz de gestionar miles de Blackberry o iPhones de manera remota y centralizada. Zenprise Device Manager es un software que permite manejar de forma centralizada todos los dispositivos móviles de una gran empresa a través de una interfaz web. La firma francesa TEHTRI-Security ha descubierto un fallo que permitiría realizar un ataque CSRF para engañar a un usuario autenticado (a través de una URL especialmente modificada) y robar las credenciales del panel de administración. Si ese usuario fuera un administrador se podría realizar cualquier función a la que tenga acceso y por tanto llegar a bloquear todos aquellos terminales disponibles en la cuenta o espiarlos remotamente. Debido al tipo de vulnerabilidad, el amplio uso de este software en el mercado empresarial (sobre todo en grandes corporaciones gubernamentales) y la diversidad de dispositivos que abarca (Android, iPhones/iPads, Blackberrys, Windows Mobile, Symbian y Palm), se recomienda encarecidamente la aplicación de la actualización disponible. José Mesa Orihuela jmesa@hispasec.com FUENTE :http://unaaldia.hispasec.com/ |