Extensión ePO de DLP Endpoint no sanitiza las exportaciones CSV
Plataforma
windows
Componente
dlp-endpoint-epo-extension
Corregido en
11.3.0
CVE-2019-3595 es una vulnerabilidad de inyección de comandos presente en la extensión ePO de McAfee Data Loss Prevention (DLP) Endpoint. Un administrador autenticado puede aprovechar esta falla para ejecutar código arbitrario en su máquina local. La vulnerabilidad afecta a las versiones 11.0.0 a 11.3.0 de la extensión ePO y se mitiga actualizando a la versión 11.3.0.
Impacto y Escenarios de Ataque
La inyección de comandos permite a un atacante, con privilegios de administrador autenticado, ejecutar comandos arbitrarios en el sistema. Esto podría resultar en la ejecución de malware, robo de datos confidenciales, modificación de la configuración del sistema o incluso el control total del sistema afectado. El ataque requiere que el atacante exporte una política DLP especialmente diseñada y la abra en su máquina, lo que implica un cierto nivel de interacción del usuario. Aunque la severidad es baja, la posibilidad de ejecución de código arbitrario con privilegios administrativos representa un riesgo significativo, especialmente en entornos donde las cuentas de administrador tienen acceso a información sensible.
Contexto de Explotación
Esta vulnerabilidad fue publicada el 24 de julio de 2019. Actualmente no se dispone de información sobre la explotación activa de esta vulnerabilidad en el mundo real, aunque la posibilidad de ejecución de código arbitrario justifica una atención prioritaria. No se ha añadido a la lista KEV de CISA. La necesidad de que el usuario abra explícitamente la política exportada podría ser una barrera para la explotación a gran escala.
Quién Está en Riesgotraduciendo…
Organizations utilizing McAfee Data Loss Prevention (DLP) Endpoint ePO extension in versions 11.0.0 through 11.3.0 are at risk. This includes environments with a high number of administrators with access to the ePO console, as well as those with less stringent DLP policy review processes. Shared hosting environments utilizing the extension are also potentially vulnerable.
Pasos de Deteccióntraduciendo…
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*DLP*'} | Select-Object TaskName, State, LastRunTime• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*epo*'} | Select-Object ProcessName, Id, CPU, WorkingSet• windows / supply-chain:
Check registry for suspicious entries related to DLP policies under HKLM\SOFTWARE\McAfee\DLP\Policies.
Cronología del Ataque
- Disclosure
disclosure
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.19% (41% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Local — el atacante necesita sesión local o shell en el sistema.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Ninguno — sin impacto en confidencialidad.
- Integrity
- Bajo — el atacante puede modificar algunos datos con alcance limitado.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2019-3595 es actualizar la extensión ePO de McAfee DLP Endpoint a la versión 11.3.0 o posterior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda revisar las políticas DLP existentes en busca de anomalías o código sospechoso. Además, se debe restringir el acceso a la funcionalidad de exportación de políticas DLP solo a usuarios de confianza. Implementar reglas de firewall o proxies que monitoreen y bloqueen la ejecución de comandos no autorizados también puede ayudar a reducir el riesgo. Verifique después de la actualización que la extensión ePO se haya actualizado correctamente y que las políticas DLP se comporten como se espera.
Cómo corregirlotraduciendo…
Actualizar la extensión DLP Endpoint ePO a la versión 11.3.0 o posterior. Esto corrige la vulnerabilidad de inyección de comandos al exportar políticas DLP en formato CSV. La actualización debe realizarse a través del repositorio de McAfee.
Boletín de seguridad CVE
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
Preguntas frecuentestraduciendo…
What is CVE-2019-3595 — Command Injection in McAfee DLP Endpoint ePO?
CVE-2019-3595 is a Command Injection vulnerability in McAfee Data Loss Prevention (DLP) Endpoint ePO extension versions 11.0.0–11.3.0, allowing authenticated administrators to execute arbitrary code.
Am I affected by CVE-2019-3595 in McAfee DLP Endpoint ePO?
You are affected if you are using McAfee DLP Endpoint ePO extension versions 11.0.0 through 11.3.0 and have not upgraded to version 11.3.0 or later.
How do I fix CVE-2019-3595 in McAfee DLP Endpoint ePO?
Upgrade the McAfee DLP Endpoint ePO extension to version 11.3.0 or later. Back up your ePO configuration before upgrading.
Is CVE-2019-3595 being actively exploited?
While no active exploitation campaigns have been publicly reported, the vulnerability's nature makes it a potential target.
Where can I find the official McAfee advisory for CVE-2019-3595?
Refer to the McAfee Security Bulletin: https://kc.mcafee.com/corporate/details/kb/133763
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.