Investigador reporta vulnerabilidades en FireEye y lo despiden

FireEye ha parcheado una serie de vulnerabilidades revelados públicamente en su sistema operativo FireEye Operating System (FEOS) y FireEye Malware Analysis System 6.4.1 los cuales facilitarían ataques Man-in-the-Middle e inyección de comandos.

Según el boletín [PDF], los errores varían en severidad de baja a crítica, los más graves permiten a un atacante remoto no autenticado inyectar comandos de shell en FEOS como usuario "root". Otros errores incluyen inyección de SQL y comandos en la interfaz web, defectos de derechos de acceso, Cross-site Scripting y falsificación de peticiones que exponen los servicios internos del sistema operativo.

Las vulnerabilidades críticas fueron expuestas como 0-Day por el investigador Jean-Marie Bourbon y, como consecuencia de la divulgación, este posteriormente fue despedido por Sogeti, su empleador. Bourbon le dijo a Forbes que reportó en mayo y en forma privada las vulnerabilidades a FireEye pero estos no respondieron. Luego, FireEye contactó al empleador y se encargó de eliminar los registros de la vulnerabilidad de la caché de Google.

Cristian de la Redacción de Segu-Info