Blue Coat устранила 4 бреши в платформе SSL Visibility Appliance

Компания Blue Coat выпустила исправленное обновление для свой платформы Blue Coat SSL Visibility Appliance, устраняющее 4 бреши, которые затрагивают административную консоль WebUI (web-based administration console).

Blue Coat SSL Visibility Appliance разработана в качестве решения для управления зашифрованным трафиком, позволяющего проводить оценку угроз, предотвращать потерю данных и пр. Компонент WebUI позволяет клиентам конфигурировать продукт и управлять им. Доступ к WebUI могут получить только авторизированные пользователи с полномочиями администратора.

Уязвимости в компоненте были  обнаружены  специалистом компании FishNet Security Тимом МалколмВеттером (Tim MalcomVetter). Первая из них (CVE-2015-2852) – это CSRF (межсайтовая подделка запроса), которая может быть проэксплуатирована удаленным пользователем с целью получения доступа к административной платформе и осуществления различных действий с правами администратора.

Кроме того, компонент WebUI уязвим к кликджекинг-атакам (из-за некорректной проверки правильности запроса (CVE-2015-2854)), а также к похищению файлов cookie (CVE-2015-2855) и к фиксации сессии (CVE-2015-2853). Из-за того, что в cookie-файлы администратора не установлены флаги HttpOnly и Secure, атакующий с возможностью доступа к зашифрованному трафику может осуществить похищение или манипуляции с ними. Украденные файлы cookie могут использоваться для осуществления различных действий под видом администратора. Фиксация сессии позволяет атакующему принудительно обновить идентификатор пользовательской сессии.

Бреши затрагивают продукты Blue Coat SSL Visibility Appliance SV800, SV1800, SV2800 и SV3800 на базе версий SSL Visibility от 3.6.x до 3.8.3 включительно. Компания уже  выпустила  обновление SSL Visibility 3.8.4, исправляющее вышеуказанные уязвимости.