VERITAS Backup Exec Remote Agent para Windows Servers utilizan credenciales de autenticación administrativas hardcoded. Un intruso con conocimiento de estas credenciales y acceso al Remote Agent podría obtener archivos arbitrarios de un sistema vulnerable.
Servidores Windows | VERITAS Backup Exec Remote Agent | <= | 2 |
VERITAS Backup Exec Remote Agent para Windows Servers es una solución de respaldo y restauración de datos que soporta NP (Network Data Management Protocol). NDMP "... es un protocolo estándar abierto para respaldos empresariales de almacenamientos de red heterogéneos". De forma predeterminada, Remote Agent escucha el tráfico NDMP en el puerto 10000/tcp.
VERITAS Backup Exec Remote Agent utiliza credenciales de autenticación administrativa hardcoded. Un intruso con conocimiento de estas credenciales y acceso a Remote Agent podría ser capaz de obtener archivos arbitrarios desde un sisetma vulnerable. El Remote Agent se ejecuta con privilegios de SYSTEM.
Código de exploit, incluyendo las credenciales, ha sido expuesto públicamente. El US-CERT/UNAM-CERT también han visto reportes de incrementos en actividad de escaneo en el puerto 10000/tcp. Esto incremento podría ser causado por intentos de localizar sistemas vulnerables.
El US-CERT está dando seguimiento a la vulnerabilidad como VU#378957.
Se debe hacer notar que VERITAS fue adquirido recientemente por Symantec.
Un intruso remoto con conocimiento de las credenciales y acceso a Remote Agent podría ser capaz de obtener archivos arbitrarios de un sistema vulnerable.
El US-CERT recomienda tomar las siguientes acciones para reducir las oportunidades de explotación.
Utilice un firewall para limitar la conectividad para que solo servidores de respaldo autorizados pueden conectarse al Remote Agent. El puerto predeterminado para este servicio es el 10000/tcp.
Como mínimo, se debe implementar alguna protección básica en el perímetro de la red. Cuando se desarrollan reglas para filtrar el tráfico de red, se debe analizar que instalaciones individuales podrían operar en puertos no estándar.
Además, cambiando el puerto predeterminado del Remote Agent de 10000/tcp podría reducir las oportunidades de explotación. Consulte el documento de soporte 255174 de VERITAS para instrucciones de como cambiar el puerto predeterminado.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT