McAfee VirusScan Linux企業(yè)版存在多個(gè)高危漏洞，請(qǐng)盡快升級(jí)

yh-security 2016-12-19 9:38:04 漏洞播報(bào) 0個(gè)評(píng)論

本文原創(chuàng)作者：bimeover

來(lái)源：FreeBuf.COM

Intel Security旗下的安全產(chǎn)品McAfee VirusScan Linux企業(yè)版被曝受10個(gè)漏洞影響，由幾個(gè)漏洞構(gòu)成的攻擊鏈可以完成以root權(quán)限遠(yuǎn)程執(zhí)行代碼。??

幾個(gè)月之前，麻省理工學(xué)院林肯實(shí)驗(yàn)室的安全專(zhuān)家Andrew Fasano就在McAfee VirusScan Linux企業(yè)版（VSEL）中發(fā)現(xiàn)多個(gè)漏洞，這些漏洞存在于VSEL 1.9.2版本至2.0.2版本。他在博客中詳細(xì)說(shuō)明了這些漏洞，并表示某幾個(gè)漏洞聯(lián)合使用可以root權(quán)限執(zhí)行遠(yuǎn)程代碼。

10個(gè)漏洞，其中4個(gè)為高危

Fasano早在今年6月通過(guò)CERT/CC（美國(guó)計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心）向Intel Security提交了漏洞報(bào)告，公開(kāi)日期原定于8月。但是McAfee安全團(tuán)隊(duì)不同意，和Fasano協(xié)商后，決定將公開(kāi)日期延期到9月甚至12月。三個(gè)月安靜地過(guò)去了，時(shí)間來(lái)到了12月5日，McAfee提前公開(kāi)了漏洞（原定于12月12日），順勢(shì)在12月9日的時(shí)候發(fā)布了安全公告并分配了這些漏洞的CVE ID。

14817031559598

本次公布的泄露信息中，McAfee VirusScan Linux企業(yè)版受到各種漏洞的影響，包括信息泄露，跨站點(diǎn)請(qǐng)求偽造（CSRF），跨站點(diǎn)腳本（XSS），遠(yuǎn)程代碼執(zhí)行，特權(quán)升級(jí)，特殊元素注入，暴力枚舉身份認(rèn)證，SQL注入和任意文件寫(xiě)入的問(wèn)題。

Fasano在博客中寫(xiě)道：

即使一個(gè)Linux系統(tǒng)運(yùn)行著英特爾的McAfee VirusScan企業(yè)版，它也會(huì)由于多個(gè)安全漏洞而受到遠(yuǎn)程攻擊。其中一些漏洞組合起來(lái)甚至能以root權(quán)限執(zhí)行遠(yuǎn)程代碼。

10個(gè)漏洞中4個(gè)高危漏洞，其余6個(gè)中等。

利用4個(gè)漏洞來(lái)構(gòu)建攻擊鏈

Fasano解釋了使McAfee VirusScan Linux企業(yè)版被攻陷的整個(gè)攻擊鏈。

所有的一切始于其中一個(gè)漏洞，該漏洞（CVE-2016-8022）允許身份認(rèn)證token的遠(yuǎn)程使用，這里還需要另一個(gè)漏洞（CVE-2016-8023）暴力枚舉破解的配合。

攻擊者部署一臺(tái)惡意更新服務(wù)器，隨后觸發(fā)CVE-2016-8022漏洞，讓客戶(hù)端產(chǎn)品會(huì)去使用這臺(tái)惡意升級(jí)服務(wù)器。然后，攻擊者需要利用CVE-2016-8021任意文件寫(xiě)入漏洞來(lái)構(gòu)建從升級(jí)服務(wù)器獲取的惡意腳本。最終利用CVE-2016-8020提權(quán)漏洞，使得這個(gè)惡意腳本可以以root權(quán)限來(lái)執(zhí)行。

最后一步，再發(fā)送帶身份認(rèn)證token的惡意請(qǐng)求來(lái)啟動(dòng)病毒掃描，這樣就能實(shí)現(xiàn)以root權(quán)限執(zhí)行惡意腳本了。總括一下，整個(gè)過(guò)程是下面這樣的：

“要在一臺(tái)遠(yuǎn)程設(shè)備上以Root權(quán)限執(zhí)行代碼：

1.利用CVE-2016-8022漏洞和CVE-2016-8023漏洞，來(lái)暴力破解身份認(rèn)證token；

2.開(kāi)始運(yùn)行惡意升級(jí)服務(wù)器；

3.利用CVE-2016-8022漏洞，發(fā)送帶身份認(rèn)證token的請(qǐng)求至升級(jí)服務(wù)器；

4.利用CVE-2016-8021漏洞，迫使目標(biāo)設(shè)備在其系統(tǒng)中構(gòu)建惡意腳本；

5.利用CVE-2016-8020與CVE-2016-8021漏洞，發(fā)出帶身份認(rèn)證token的惡意請(qǐng)求，來(lái)啟動(dòng)病毒掃描過(guò)程，但實(shí)際上就是執(zhí)行惡意腳本；

6.惡意腳本會(huì)在目標(biāo)設(shè)備上以Root權(quán)限執(zhí)行。

注意，利用此漏洞取決于是否存在用戶(hù)登錄Web界面時(shí)生成的有效登錄token。這些token僅在登錄后大約一小時(shí)內(nèi)有效?！?/p>

解決方案

受到漏洞影響的用戶(hù)應(yīng)盡快升級(jí)到Endpoint Security for Linux（ENSL）10.2或更高版本，VSEL產(chǎn)品很快就會(huì)壽終正寢。

CERT / CC（美國(guó)計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心）也發(fā)布了安全公告，告知了客戶(hù)McAfee VirusScan Linux企業(yè)版的不足。

“McAfee已經(jīng)停止了Virus Scan 企業(yè)版產(chǎn)品，傾向于使用新的McAfee Endpoint Security產(chǎn)品來(lái)解決這些漏洞。建議受影響的用戶(hù)盡快升級(jí)到Endpoint Security 10.2版本或更高版本。該升級(jí)服務(wù)向現(xiàn)有用戶(hù)免費(fèi)提供?！?/p>

原文地址:http://www.freebuf.com/news/122905.html

上一篇：雅虎郵箱存儲(chǔ)型XSS漏洞，黑客能看任何人的郵件
下一篇：【漏洞預(yù)警】OpenSSH現(xiàn)中危漏洞，可致遠(yuǎn)程代碼執(zhí)行

漏洞播報(bào)

McAfee VirusScan Linux企業(yè)版存在多個(gè)高危漏洞，請(qǐng)盡快升級(jí)