Intel Security旗下的安全产品 McAfee VirusScan linux企业版 被曝受10个漏洞影响,由几个漏洞构成的攻击链可以完成以root权限远程执行代码。
几个月之前,麻省理工学院林肯实验室的安全专家Andrew Fasano就在McAfee VirusScan Linux企业版(VSEL)中发现多个漏洞,这些漏洞存在于 VSEL 1.9.2版本至2.0.2版本 。他在 博客 中详细说明了这些漏洞,并表示 某几个漏洞联合使用可以root权限执行远程代码。
10个漏洞,其中4个为高危Fasano早在今年6月通过CERT/CC(美国计算机紧急事件响应小组协调中心)向Intel Security提交了漏洞报告,公开日期原定于8月。但是McAfee安全团队不同意,和Fasano协商后,决定将公开日期延期到9月甚至12月。三个月安静地过去了,时间来到了12月5日,McAfee提前公开了漏洞(原定于12月12日),顺势在12月9日的时候发布了安全公告并分配了这些漏洞的CVE ID。
本次公布的泄露信息中,McAfee VirusScan Linux企业版 受到各种漏洞的影响,包括信息泄露,跨站点请求伪造(CSRF),跨站点脚本(XSS),远程代码执行,特权升级,特殊元素注入,暴力枚举身份认证,SQL注入和任意文件写入的问题。
Fasano在博客中写道:
即使一个Linux系统运行着英特尔的McAfee VirusScan企业版,它也会由于多个安全漏洞而受到远程攻击。其中一些漏洞组合起来甚至能以root权限执行远程代码。
10个漏洞中4个高危漏洞,其余6个中等。
利用4个漏洞来构建攻击链Fasano解释了使McAfee VirusScan Linux企业版陷入危机整个攻击链。
所有的一切始于其中一个漏洞,该漏洞 ( CVE-2016-8022 ) 允许身份认证token的远程使用,这里还需要另一个漏洞( CVE-2016-8023 )暴力枚举破解。
攻击者部署了一台恶意更新服务器, 随后触发CVE-2016-8022漏洞,让客户端产品会去使用这台恶意升级服务器 。然后,攻击者需要利用 CVE-2016-8021 任意文件写入漏洞来构建从升级服务器获取的恶意脚本。最终利用 CVE-2016-8020 提权漏洞,使得这个恶意脚本可以以root权限来执行。
最后一步,再发送带身份认真token的恶意请求来启动病毒扫描,这样就能实现以root权限执行恶意脚本。总括一下,整个过程是下面这样的:
“要在一台远程设备上以Root权限执行代码:
1.利用CVE-2016-8022漏洞和CVE-2016-8023漏洞,来暴力破解身份认证token;
2.开始运行恶意升级服务器;
3.利用CVE-2016-8022漏洞,发送带身份认证token的请求至升级服务器;
4.利用CVE-2016-8021漏洞,迫使目标设备在其系统中构建恶意脚本;
5.利用CVE-2016-8020与CVE-2016-8021漏洞,发出带身份认证token的恶意请求,来启动病毒扫描过程,但实际上就是执行恶意脚本;
6.恶意脚本会在目标设备上以Root权限执行。
注意,利用此漏洞取决于是否存在用户登录Web界面时生成的有效登录token。 这些token仅在登录后大约一小时内有效。”
解决方案受到漏洞影响的用户应尽快升级到Endpoint Security for Linux(ENSL)10.2或更高版本,VSEL产品很快就会寿终正寝。
CERT / CC ( 美国计算机紧急事件响应小组协调中心 )也 发布了 安全 公告,告知了客户 McAfee VirusScan Linux企业版的不足。
“McAfee已经停止了Virus Scan 企业版产品,倾向于使用新的McAfee Endpoint Security产品来解决这些漏洞。 建议受影响的用户尽快升级到Endpoint Security 10.2版本或更高版本。 该升级服务向现有用户免费提供。”
* 参考来源: securityaffairs ,FB小编bimeover编译,转载请注明来自CodeSec.Net