Первая уязвимость (ей был присвоен номер CVE-2014-7289) позволяет злоумышленнику выполнять к базе данных SDCS: SA произвольные запросы и получать доступ ко всем хранящимся в ней записям, в том числе с возможностью не только чтения, но и модификации.
«Эта уязвимость стала следствием недостаточно эффективной проверки подлинности источника запросов, — сообщил Фибек. — Более того, она позволяет не только получить доступ к базе данных, но и получить наивысший уровень доступа в системе».
Вторая уязвимость (CVE-2014-9224) позволяет злоумышленнику получать доступ к сессиям авторизованных пользователей и входить в панель управления под их именем. Третья уязвимость (CVE-2014-9225) позволяет получить доступ к системной информации, и четвертая (CVE-2014-9226) — обойти настройки безопасности и права доступа, установленные в продукте, а также получить хэши паролей пользователей Windows.
Symantec выпустила патчи для устранения найденных уязвимостей, только после этого о них стало известно публично.
SDCS: SA служит для предотвращения вторжений для физических и виртуальных серверов, мониторинга целостности файлов, настроек и управления политиками доступа, выявления нарушений политик, подозрительных действий администраторов или злоумышленников в реальном времени. Продукт поддерживает платформы на базе Windows Server и других ОС, включая Linux, AIX, Solaris и HP-UX.
Symantec — ведущий поставщик ПО для защиты данных. В 2013 г. выручка вендора составила $3,7 млрд. Согласно Gartner, корпорация заняла первое место по данному показателю с долей рынка 18,7%. По сравнению с 2012 г. продажи компании уменьшились на 0,3%.
Добавим, что в октябре 2014 г. Symantec объявила о намерении разделиться на две независимые публичные компании, одна из которых займется бизнесом в сфере информационной безопасности, а другая — в области управления информацией. В ноябре корпорация сообщила о намерении на 10% сократить свой штат.