Zenprise Inc., empresa americana líder en gestión, control y securización remota de dispositivos móviles como smartphones y tablets para el mercado empresarial, posee dentro de su línea de servicios el denominado Zenprise Device Manager (MDM) capaz de gestionar miles de Blackberry o iPhones de manera remota y centralizada.
Zenprise Device Manager es un software que permite manejar de forma centralizada todos los dispositivos móviles de una gran empresa a través de una interfaz web.
La firma francesa TEHTRI-Security ha descubierto un fallo que permitiría realizar un ataque CSRF para engañar a un usuario autenticado (a través de una URL especialmente modificada) y robar las credenciales del panel de administración. Si ese usuario fuera un administrador se podría realizar cualquier función a la que tenga acceso y por tanto llegar a bloquear todos aquellos terminales disponibles en la cuenta o espiarlos remotamente.
Debido al tipo de vulnerabilidad, el amplio uso de este software en el mercado empresarial (sobre todo en grandes corporaciones gubernamentales) y la diversidad de dispositivos que abarca (Android, iPhones/iPads, Blackberrys, Windows Mobile, Symbian y Palm), se recomienda encarecidamente la aplicación de la actualización disponible.
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/11/vulnerabilidad-en-zenprise-device.html#comments
Más información:
Actualización
http://www.zenpriseportal.com/patches/ZP_SecPatch_618_9995.zip
VU#584363 : Zenprise Device Manager CSRF vulnerability
http://www.kb.cert.org/vuls/id/584363
[US-CERT VU#584363] Pwning a complete fleet of GSM/Tablets
http://www.tehtri-security.com/en/news.php
Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com
Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
