Nota de vulnerabilidad VU#971035- El protocolo simple de inscripción de certificados (SCEP) no autentica con firmeza las solicitudes de certificados
CLEVELAND, OH - 28 de junio de 2012. Los investigadores de Certified Security Solutions, Inc. (CSS), una empresa líder en seguridad de la información, han descubierto un problema de seguridad potencialmente grave relacionado con el uso del Protocolo simple de inscripción de certificados (SCEP) junto con dispositivos móviles. Las organizaciones que aprovechan SCEP para emitir certificados digitales a los dispositivos móviles pueden ser objeto de un ataque de escalada de privilegios.
El problema no está causado por un error de implementación en un solo producto, ni por un problema con el propio protocolo SCEP, sino más bien por una combinación de características, configuraciones y casos de uso que, juntos, abren una vía de ataque previamente imprevista. Los sistemas de gestión de dispositivos móviles (MDM) que aprovechan SCEP para emitir certificados de autenticación en sistemas empresariales como Wi-Fi, VPN o ActiveSync se encuentran entre los escenarios más afectados.
Certified Security Solutions ha estado trabajando durante varias semanas con US-CERT y CERT/CC en Carnegie Mellon para facilitar las notificaciones y la divulgación de información a través de los canales adecuados. El informe oficial de vulnerabilidades del US-CERT puede consultarse en el siguiente enlace: https://www.kb.cert.org/vuls/id/971035.
"Recomendamos encarecidamente a todas las organizaciones que utilicen SCEP o un sistema de gestión de dispositivos móviles junto con una infraestructura de clave pública empresarial que examinen a fondo si están afectadas y en riesgo", dijo Ted Shorter, Director de Tecnología de CSS. "Hemos creado un área en nuestro sitio web que profundiza en la explicación de la vulnerabilidad, y los pasos para que las empresas se protejan."
Visite este portal informativo en línea en www.css-security.com/scep.
Acerca de CSS
CSS es una empresa de servicios de seguridad de la información con operaciones en toda Norteamérica y sede en Cleveland, Ohio. Estamos especializados en tres áreas críticas de la seguridad de la información: gestión de identidad y acceso, infraestructura y gobernanza seguras, y riesgo y cumplimiento. CSS ofrece servicios de consultoría, servicios de seguridad gestionados, seguridad como servicio y herramientas de seguridad software para satisfacer las necesidades de nuestros clientes. Para más información y para obtener una lista completa de sucursales, visite www.css-security.com o envíe un correo electrónico asoftware @css-security .com
