La compañía BlackBerry ha publicado un boletín de seguridad para informar de una importante vulnerabilidad remota en su software BlackBerry Enterprise Service 10 (BES).

Este producto, enfocado al mundo empresarial, se utiliza para la gestión multiplataforma (PC, Mac, iOS , Android y Blackberry OS) de todos sus dispositivos, móviles y tablets. 

 
La vulnerabilidad (CVE-2013-3693) descubierta por el investigador Paul O’Grady de la empresa Security Compass, permitiría la ejecución remota de código, y se debería a unas incorrectas políticas de seguridad a la hora de restringir el acceso al entorno JBoss integrado en BES y utilizado por el servicio BlackBerry ‘Universal Device Service’ (UDS). 
 
Debido a que es posible acceder a este entorno JBoss a través de una interfaz Java RMI (Remote Method Invocation), los atacantes pueden desplegar servidores maliciosos y realizar conexiones especialmente manipuladas a los puertos TCP de escucha 1098 y 1099. 
 
Dado que este servicio se ejecuta con privilegios de administración, el atacante tendrá control total del sistema y podrá ejecutar código arbitrario, aunque es necesario conocer la dirección del servicio UDS para poder realizarlo. 
 
Aunque no se alerta de exploits conocidos hasta el momento, se recomienda actualizar a la nueva versión ya disponible, V10.1.3 o aplicar las contramedidas disponibles. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/10/boletin-de-seguridad-para-blackberry..html#comments
 
Más información:
 
BlackBerry Releases Security Advisory
http://www.us-cert.gov/ncas/current-activity/2013/10/09/BlackBerry-Releases-Security-Advisory
 
BSRT-2013-011 Vulnerability in BlackBerry Universal Device Service wrapper impacts BlackBerry Enterprise Service 10
http://www.blackberry.com/btsc/KB35139

Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar