| CVE | 9163 |
|---|---|
| Resumen del asesoramiento | Ejecución de inyección de código XAML en clientes que ejecutan Command Client |
| Productos o componentes | Comando Cliente |
| Abordado en la publicación | Cliente de comandos 2.7.2 |
| Gravedad | Crítica |
| Billete | MNS-2287 |
Descripción
Cuando Command Client inicia una conexión con Command Enterprise Software o con una grabadora (incluido el Command Recording Software), descarga y ejecuta algunos objetos XAML utilizados para renderizar parte de la interfaz y proporcionar descargos de responsabilidad y términos de servicios. Estos objetos XAML pueden utilizarse como vector de ataque, en las versiones afectadas de Command Client, para ejecutar código malicioso en el sistema en el que se utiliza Command Client.
Impacto
Un Command Enterprise Software o una grabadora (incluido el software Command Recording) malintencionados pueden inyectar código malicioso en el XAML descargado, o un intermediario puede interceptar uno válido y sustituirlo.
Las versiones afectadas de Command Client ejecutan el XAML, dando acceso al sistema donde se utiliza Command Client, exponiendo su sistema de archivos y permitiendo la ejecución de código malicioso. Dicho acceso está limitado a los derechos del usuario que lanzó Command Client.
Mitigación
El impacto de la vulnerabilidad puede mitigarse si la infraestructura de red está protegida contra la presencia de servicios maliciosos que actúen como Command Enterprise Software Command Command Enterprise Software o grabador (incluido el software Command Recording), y contra la presencia de ataques man in the middle.
Una infraestructura de red cerrada estará protegida de los ataques procedentes del exterior, mientras que para los que puedan surgir desde el interior, el riesgo podría mitigarse utilizando certificados 802.1x, soportados en nuestra solución, para autenticar el acceso a la red.
Solución
Actualice el Command Client por lo menos a la versión fija. La última versión está disponible para su descarga desde el sitio web March Networks o desde el Portal de Socios de March Networks .
La actualización Command Enterprise Software a la versión 2.7.2 como mínimo y del software Command Recording a la versión 2.8.0 como mínimo impondrá automáticamente el uso de la versión de cliente correspondiente.
En nuestro Partner Portal, los clientes que utilicen Command Enterprise Software 2.6.5, 2.7.0 o 2.7.1 encontrarán una utilidad de actualización de Command Client 2.7.2 para aplicar y distribuir Command Client 2.7.2 desde el CES.
Descargas
La última versión del cliente está disponible en el sitio web March Networks https://www.marchnetworks.com/software-downloads/
Todas nuestras versiones de software compatibles también están disponibles en el portal de socios de March Networks aquí: https://partners.marchnetworks.com/support/command-software/command-client/
Referencias
https://docs.microsoft.com/en-us/visualstudio/code-quality/ca3010
Créditos
March Networks desea agradecer a Joachim Kerschbaumer por informarnos sobre esta vulnerabilidad.
Revisión
23 March de 2020 - Informe público inicial
Descargo de responsabilidad
La evaluación de March NetworksNetworks de esta vulnerabilidad de seguridad depende de que los productos de March Networks Networks estén actualizados a la versión recomendada y/o nivel de parche de seguridad y que el sistema haya sido desplegado y configurado, de acuerdo con las recomendaciones de seguridad March Networks y las mejores prácticas de la industria. ES RESPONSABILIDAD DEL CLIENTE EVALUAR EL EFECTO DE CUALQUIER VULNERABILIDAD DE SEGURIDAD. No actualizar los productos de March Networks Networks y/o no seguir las recomendaciones de March Networks o las mejores prácticas de la industria puede aumentar el riesgo asociado con una vulnerabilidad de seguridad.
March Networks sigue las prácticas líderes de la industria para abordar las vulnerabilidades de seguridad en nuestros productos. Aunque March Networks Networks no puede garantizar que nuestros productos estarán libres de vulnerabilidades de seguridad, nos comprometemos a proporcionar actualizaciones y correcciones de seguridad, para nuestros productos compatibles, siempre y cuando se determine que una vulnerabilidad de alta seguridad afecta a los productos de March Networks Networks.