Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en el agente SecureConnector (CVE-2016-9486)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-264 Permisos, privilegios y/o control de acceso
Fecha de publicación:
13/07/2018
Última modificación:
09/10/2019

Descripción

En los endpoints de Windows, el agente SecureConnector debe ejecutarse bajo la cuenta SYSTEM local u otra cuenta de administrador para habilitar la funcionalidad total del agente. La configuración típica es para que el agente se ejecute como servicio de Windows bajo la cuenta SYSTEM local. El agente SecureConnector ejecuta varios scripts de plugin y ejecutables en el endpoint para recopilar y reportar información sobre el host en la aplicación de gestión de CounterACT. El agente SecureConnector descarga estos scripts y ejecutables cuando los necesita de la aplicación de gestión de CounterACT y los ejecuta en el endpoint. Por defecto, estos archivos ejecutables se descargan y ejecutan desde el directorio %TEMP% del usuario que ha iniciado sesión actualmente, a pesar del hecho de que el agente SecureConnector se está ejecutando como SYSTEM. Aparte de los scripts descargados, el agente SecureConnector ejecuta un archivo con privilegios SYSTEM desde el directorio temp del usuario que tiene la sesión iniciada actualmente. Si la convención de nombres del script se puede derivar, lo que es posible colocándolo en un directorio en el que el usuario tiene acceso de lectura, podría ser posible sobrescribir el archivo batch legítimo con otro malicioso antes de que lo ejecute SecureConnector. Es posible cambiar este directorio estableciendo la propiedad de configuración config.script_run_folder.value en el archivo de configuración local.properties en la aplicación de gestión de CounterACT; sin embargo, el archivo batch que se ejecuta no sigue esta propiedad.

Impacto

Vector 3.x
CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Vector 2.0
AV:L/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: AV:L/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo

Puntuación base 2.0
7.20
Gravedad 2.0
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:forescout:secureconnector:-:*:*:*:*:windows:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información