Ευπάθεια στο Symantec Endpoint Management Suite επιτρέπει εκτέλεση RCE
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Ευπάθεια στο Symantec Endpoint Management Suite επιτρέπει εκτέλεση RCE
https://www.secnews.gr/653876/efpatheia-symantec-endpoint-management-suite-epitrepei-ektelesi-rce/
Jul 15th 2025, 13:37
by Absenta Mia
Μια κρίσιμη ευπάθεια ασφαλείας έχει εντοπιστεί στη σουίτα Symantec Endpoint Management της Broadcom, η οποία επιτρέπει την απομακρυσμένη εκτέλεση κώδικα χωρίς ταυτοποίηση, δημιουργώντας σοβαρούς κινδύνους για τις υποδομές πληροφορικής των επιχειρήσεων.
Δείτε επίσης: Παίκτες του Call of Duty χακάρουν άλλους παίκτες μέσω ευπάθειας RCE
Το πρόβλημα, το οποίο φέρει την ονομασία CVE-2025-5333 και έχει υψηλή βαθμολογία σοβαρότητας (CVSS v4.0) 9.5, επηρεάζει πολλαπλές εκδόσεις της δημοφιλούς λύσης διαχείρισης τερματικών και έχει οδηγήσει σε άμεσες συστάσεις μετριασμού από ειδικούς ασφαλείας. Η ευπάθεια εντοπίζεται στο στοιχείο Symantec Altiris Inventory Rule Management (IRM), στο οποίο γίνεται κατάχρηση ενός παρωχημένου και εκτεθειμένου endpoint .NET Remoting στη διεύθυνση tcp://:4011/IRM/HostedService.
Ο φορέας CVSS (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H) δείχνει ότι η εκμετάλλευση είναι εφικτή μέσω δικτύου, χωρίς απαίτηση ταυτοποίησης ή αλληλεπίδρασης του χρήστη. Οι εκδόσεις του προϊόντος που επηρεάζονται περιλαμβάνουν τις Symantec Endpoint Management Suite 8.6.x, 8.7.x και 8.8.
Η ευπάθεια προκύπτει από μη ασφαλή αποσειριοποίηση αντικειμένων .NET μέσω του μηχανισμού BinaryServerFormatterSinkProvider, με την παράμετρο TypeFilterLevel ρυθμισμένη στο Full — μια ρύθμιση που επιτρέπει ανεξέλεγκτη αποσειριοποίηση αντικειμένων. Αυτό δίνει τη δυνατότητα σε επιτιθέμενους να δημιουργήσουν κακόβουλα αντικείμενα .NET, τα οποία, όταν επεξεργαστούν από τον ευάλωτο εξυπηρετητή, οδηγούν σε αυθαίρετη εκτέλεση κώδικα.
Δείτε ακόμα: Ευπάθεια του ManageEngine Exchange Reporter Plus επιτρέπει RCE
Οι ερευνητές ασφαλείας της LRQA εντόπισαν την ευπάθεια κατά τη διάρκεια άσκησης Red Team, αφού εντόπισαν εκτεθειμένες διεργασίες σε ένα ενισχυμένο σύστημα. Η ανάλυση με τον αποσφαλματωτή DnSpy για .NET αποκάλυψε τη χρήση της μεθόδου RemotingConfiguration.RegisterWellKnownServiceType, επιβεβαιώνοντας την παρουσία παρωχημένης τεχνολογίας .NET Remoting.
Ευπάθεια στο Symantec Endpoint Management Suite επιτρέπει εκτέλεση RCE
Οι ερευνητές απέδειξαν επιτυχώς την εκμετάλλευση χρησιμοποιώντας το εργαλείο ExploitRemotingService του James Forshaw, με την εντολή:
*ExploitRemotingService.exe –uselease tcp://:4011/IRM/HostedService ls C:*
Η ομάδα PSIRT της Broadcom αντέδρασε άμεσα στην συντονισμένη αποκάλυψη της ευπάθειας, επιβεβαιώνοντας ότι, σύμφωνα με την επίσημη τεκμηρίωση, η θύρα 4011 δεν απαιτείται για την κανονική λειτουργία του συστήματος.
Η βασική μέθοδος μετριασμού περιλαμβάνει τη διασφάλιση ότι τα τείχη προστασίας (firewalls) αποκλείουν την πρόσβαση στη θύρα 4011 στους Notification Servers, αποτρέποντας έτσι την απομακρυσμένη εκμετάλλευση.
Επιπρόσθετα, προτείνεται η ρύθμιση της παραμέτρου IRM_HostedServiceUrl με κενή τιμή και η επανεκκίνηση της υπηρεσίας Altiris Inventory Rule Management. Η Broadcom έχει δεσμευτεί ότι στις επόμενες εκδόσεις θα περιορίσει την πρόσβαση στο .NET Remoting ώστε να επιτρέπεται μόνο από τοπικό σύστημα (localhost).
Δείτε επίσης: Κρίσιμη ευπάθεια στο Roundcube επιτρέπει εκτέλεση RCE
Οι οργανισμοί που χρησιμοποιούν επηρεαζόμενες εκδόσεις θα πρέπει άμεσα να ελέγξουν τις ρυθμίσεις των firewalls και να εφαρμόσουν τα προτεινόμενα μέτρα ασφαλείας, ώστε να αποτρέψουν την πιθανή εκμετάλλευση αυτής της κρίσιμης ευπάθειας.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Ευπάθεια στο Symantec Endpoint Management Suite επιτρέπει εκτέλεση RCE
https://www.secnews.gr/653876/efpatheia-symantec-endpoint-management-suite-epitrepei-ektelesi-rce/
Jul 15th 2025, 13:37
by Absenta Mia
Μια κρίσιμη ευπάθεια ασφαλείας έχει εντοπιστεί στη σουίτα Symantec Endpoint Management της Broadcom, η οποία επιτρέπει την απομακρυσμένη εκτέλεση κώδικα χωρίς ταυτοποίηση, δημιουργώντας σοβαρούς κινδύνους για τις υποδομές πληροφορικής των επιχειρήσεων.
Δείτε επίσης: Παίκτες του Call of Duty χακάρουν άλλους παίκτες μέσω ευπάθειας RCE
Το πρόβλημα, το οποίο φέρει την ονομασία CVE-2025-5333 και έχει υψηλή βαθμολογία σοβαρότητας (CVSS v4.0) 9.5, επηρεάζει πολλαπλές εκδόσεις της δημοφιλούς λύσης διαχείρισης τερματικών και έχει οδηγήσει σε άμεσες συστάσεις μετριασμού από ειδικούς ασφαλείας. Η ευπάθεια εντοπίζεται στο στοιχείο Symantec Altiris Inventory Rule Management (IRM), στο οποίο γίνεται κατάχρηση ενός παρωχημένου και εκτεθειμένου endpoint .NET Remoting στη διεύθυνση tcp://:4011/IRM/HostedService.
Ο φορέας CVSS (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H) δείχνει ότι η εκμετάλλευση είναι εφικτή μέσω δικτύου, χωρίς απαίτηση ταυτοποίησης ή αλληλεπίδρασης του χρήστη. Οι εκδόσεις του προϊόντος που επηρεάζονται περιλαμβάνουν τις Symantec Endpoint Management Suite 8.6.x, 8.7.x και 8.8.
Η ευπάθεια προκύπτει από μη ασφαλή αποσειριοποίηση αντικειμένων .NET μέσω του μηχανισμού BinaryServerFormatterSinkProvider, με την παράμετρο TypeFilterLevel ρυθμισμένη στο Full — μια ρύθμιση που επιτρέπει ανεξέλεγκτη αποσειριοποίηση αντικειμένων. Αυτό δίνει τη δυνατότητα σε επιτιθέμενους να δημιουργήσουν κακόβουλα αντικείμενα .NET, τα οποία, όταν επεξεργαστούν από τον ευάλωτο εξυπηρετητή, οδηγούν σε αυθαίρετη εκτέλεση κώδικα.
Δείτε ακόμα: Ευπάθεια του ManageEngine Exchange Reporter Plus επιτρέπει RCE
Οι ερευνητές ασφαλείας της LRQA εντόπισαν την ευπάθεια κατά τη διάρκεια άσκησης Red Team, αφού εντόπισαν εκτεθειμένες διεργασίες σε ένα ενισχυμένο σύστημα. Η ανάλυση με τον αποσφαλματωτή DnSpy για .NET αποκάλυψε τη χρήση της μεθόδου RemotingConfiguration.RegisterWellKnownServiceType, επιβεβαιώνοντας την παρουσία παρωχημένης τεχνολογίας .NET Remoting.
Ευπάθεια στο Symantec Endpoint Management Suite επιτρέπει εκτέλεση RCE
Οι ερευνητές απέδειξαν επιτυχώς την εκμετάλλευση χρησιμοποιώντας το εργαλείο ExploitRemotingService του James Forshaw, με την εντολή:
*ExploitRemotingService.exe –uselease tcp://:4011/IRM/HostedService ls C:*
Η ομάδα PSIRT της Broadcom αντέδρασε άμεσα στην συντονισμένη αποκάλυψη της ευπάθειας, επιβεβαιώνοντας ότι, σύμφωνα με την επίσημη τεκμηρίωση, η θύρα 4011 δεν απαιτείται για την κανονική λειτουργία του συστήματος.
Η βασική μέθοδος μετριασμού περιλαμβάνει τη διασφάλιση ότι τα τείχη προστασίας (firewalls) αποκλείουν την πρόσβαση στη θύρα 4011 στους Notification Servers, αποτρέποντας έτσι την απομακρυσμένη εκμετάλλευση.
Επιπρόσθετα, προτείνεται η ρύθμιση της παραμέτρου IRM_HostedServiceUrl με κενή τιμή και η επανεκκίνηση της υπηρεσίας Altiris Inventory Rule Management. Η Broadcom έχει δεσμευτεί ότι στις επόμενες εκδόσεις θα περιορίσει την πρόσβαση στο .NET Remoting ώστε να επιτρέπεται μόνο από τοπικό σύστημα (localhost).
Δείτε επίσης: Κρίσιμη ευπάθεια στο Roundcube επιτρέπει εκτέλεση RCE
Οι οργανισμοί που χρησιμοποιούν επηρεαζόμενες εκδόσεις θα πρέπει άμεσα να ελέγξουν τις ρυθμίσεις των firewalls και να εφαρμόσουν τα προτεινόμενα μέτρα ασφαλείας, ώστε να αποτρέψουν την πιθανή εκμετάλλευση αυτής της κρίσιμης ευπάθειας.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz