Sergey Nivens - Fotolia
McAfee Enterprise Security Manager : une sécurité toute relative
Les mécanismes d’authentification des utilisateurs peuvent être aisément mis en défaut pour accéder librement aux droits d’administration.
Voilà qui, à tout le moins, fait mauvais genre pour un spécialiste de la sécurité. D’ailleurs, Graham Cluley, sur son blog, ne se prive pas d’ironiser : « je suis sans voix. En fait, je ne pense pas que j’en crois mes yeux ».
Le sujet de moquerie n’est autre que le cœur du système de gestion des informations et des événements de sécurité d’Intel Security, anciennement McAfee, Enterprise Security Manager (ESM). Un outil dont le groupe souligne qu’il est référencé parmi les leaders du domaine par Gartner et qui doit permettre de disposer de renseignements concrets et « actionnables » sur les menaces, enrichis « d’informations contextuelles telles que les flux de renseignements sur les menaces et les indicateurs de compromission partagés ». Le tout, en temps réel ou presque.
Mais comme le reconnaît Intel Security dans une note de sa base de connaissances, « un nom d’utilisateur spécifiquement défini peut contourner l’authentification du SIEM ESM (le mot de passe n’est pas vérifié) si l’ESM est configuré pour utiliser Active Directory ou LDAP comme sources d’authentification. Cela peut permettre à l’attaquant d’obtenir un accès NGCP (utilisateur maître) à ESM ».
Cette vulnérabilité concerne ESM 9.5.0MR7, 9.4.2MR8, 9.3.2M18 et les versions précédentes – à l’exception des versions antérieures à la 9.3.0. Des mises à jour sont disponibles. Le NIST américain relève là une vulnérabilité de sévérité élevée, exploitable via le réseau, avec un niveau de complexité « moyen ».
N’en revenant manifestement toujours pas, Graham Cluley juge la nouvelle « difficile à croire » car, « au cas où vous auriez oublié, McAfee est une entreprise de sécurité ». Et d’encourager les utilisateurs d’ESM à appliquer les correctifs proposés « pronto ».