Global Preloader
Vulnerabilidad
(01/Jun/2018) Mas de 50 vulnerabilidades encontradas en dispositivos Quest

Mas de 50 vulnerabilidades encontradas en dispositivos Quest

Los investigadores de Core Security dicen haber descubierto un total de más de 60 vulnerabilidades en copias de seguridad y dispositivos de administración de sistemas de Quest. La empresa de administración de TI ha lanzado parches, pero amenazó con emprender acciones legales contra Core Security si revela demasiados detalles.

Se han encontrado más de 50 fallos de seguridad en los dispositivos de copia de seguridad de disco de la serie DR de Quest. La falla más grave, según Core, permite que un atacante remoto y no autenticado ejecute comandos arbitrarios del sistema a través del parámetro "contraseña" del proceso de inicio de sesión.

Los expertos también identificaron otros 45 problemas de inyección de comandos en el producto, pero estos requieren autenticación. Core también afirma haber descubierto seis vulnerabilidades de escalación de privilegios que permiten a un atacante obtener permisos de root.

Las debilidades afectan al software Quest DR Series Disk Backup versión 4.0.3 y posiblemente a versiones anteriores, y han sido parcheados con el lanzamiento de la versión 4.0.3.1.

La lista de agujeros de seguridad que se encuentran en este producto también incluye escalación de privilegios, inyección SQL, cross site scripting (XSS) y problemas de recorrido transversal. Las vulnerabilidades se han corregido con una revisión disponible para Quest KACE System Management Appliance versiones 7.0, 7.1, 7.2, 8.0 y 8.1. 

Quest, cuyos productos, según los informes, son utilizados por 130,000 empresas, tiene una política de divulgación responsable, pero establece que los informes de cualquier vulnerabilidad se consideran información confidencial y de propiedad exclusiva de la empresa y no pueden divulgarse a terceros. 

Core solo ha publicado información limitada sobre cada una de las vulnerabilidades, pero la compañía dice que está decepcionada por la postura de Quest sobre la divulgación.