En jtsec trabajamos para mejorar la ciberseguridad de los productos de las empresas más punteras en el sector IT, por ello, tener clientes como McAfee y poder colaborar en la mejora de su ciberseguridad, supone siempre un reto. Además, nos gustaría agradecer a McAfee por su excelente actitud en lo referente a ciberseguridad al hacer públicos los tres CVEs (Common Vulnerability Exposure) de su producto McAfee Web Gateway encontrados durante el proceso de evaluación.
Evaluación LINCE para el producto McAfee Web Gateway
Hace unos meses, McAfee confió en jtsec: Beyond IT Security para que una de sus soluciones de mayor envergadura en el mercado, McAfee Web Gateway, obtuviese la certificación LINCE. McAfee Web Gateway es un producto que proporciona una seguridad web de alto rendimiento a través de un appliance local que puede desplegarse como hardware dedicado o máquina virtual.
Uno de los puntos claves durante la evaluación LINCE son las pruebas de penetración. Esa fase se realiza después de probar todos los requisitos funcionales y analizar las posibles vulnerabilidades. La finalidad de la fase es tratar de identificar y explotar posibles mecanismos para saltarse las distintas funciones de seguridad y protecciones implementadas en el producto y ahí es donde nuestros evaluadores detectaron los tres CVEs.
*Imagen extraída de https://www.incibe-cert.es/alerta-temprana/vulnerabilidades/cve-2020-7295
CVEs descubiertos y notificados
Cuando una compañía detecta un fallo importante en sus productos se suele notificar a MITRE, la organización que gestiona el Common Vulnerabilities and Exposures. Este organismo se encarga de evaluar la vulnerabilidad y asignarle un identificador único y un número que indica la gravedad de la vulnerabilidad.
De esta manera, los usuarios y organismos pueden comprobar fácilmente las vulnerabilidades existentes en sus sistemas. En el caso de España los diferentes CERTs como el de INCIBE se encargan de publicar también y generar alertas.
En el caso de McAfee Web Getaway, fueron tres los CVEs descubiertos:
| CVE | Descripción | Criticidad | Enlaces |
|---|---|---|---|
| CVE- 2020- 7295 | La vulnerabilidad de la escalada de privilegios en McAfee Web Gateway (MWG) antes de 9.2.3 permite al usuario de la interfaz de usuario autentificado eliminar o descargar datos de registro protegidos mediante controles de acceso inadecuados en la interfaz de usuario | Baja | NIST MITRE |
| CVE- 2020- 7296 | La vulnerabilidad de la escalada de privilegios en McAfee Web Gateway (MWG) antes de la versión 9.2.3 permite al usuario de la interfaz de usuario autentificado acceder a los archivos de configuración protegidos mediante un control de acceso inadecuado en la interfaz de usuario. | Media | NIST MITRE |
| CVE- 2020- 7297 | La vulnerabilidad de la escalada de privilegios en McAfee Web Gateway (MWG) antes de 9.2.3 permite al usuario de la interfaz de usuario autentificado acceder a los datos protegidos del tablero mediante un control de acceso inadecuado en la interfaz de usuario. | Media | NIST MITRE |
Productos McAfee en el catálogo CPSTIC
CPSTIC es el catálogo de referencia de productos IT en España impulsado y administrado por CCN. Todos los productos incluidos en el catálogo tienen su seguridad certificada y cuentan con la confianza de haber sido validados por un laboratorio acreditado.
McAfee cuenta con cuatro soluciones incluidas en el catálogo: McAfee EndPoint Security, McAfee Network Security Platform, McAfee Data Loss Prevention y McAfee Advanced Threat Defense.
