Intel Security旗下的安全产品McAfee VirusScan Linux企业版被曝受10个漏洞影响,由几个漏洞构成的攻击链可以完成以root权限远程执行代码。
几个月之前,麻省理工学院林肯实验室的安全专家Andrew Fasano就在McAfee VirusScan Linux企业版(VSEL)中发现多个漏洞,这些漏洞存在于VSEL 1.9.2版本至2.0.2版本。他在博客中详细说明了这些漏洞,并表示某几个漏洞联合使用可以root权限执行远程代码。
10个漏洞,其中4个为高危
Fasano早在今年6月通过CERT/CC(美国计算机紧急事件响应小组协调中心)向Intel Security提交了漏洞报告,公开日期原定于8月。但是McAfee安全团队不同意,和Fasano协商后,决定将公开日期延期到9月甚至12月。三个月安静地过去了,时间来到了12月5日,McAfee提前公开了漏洞(原定于12月12日),顺势在12月9日的时候发布了安全公告并分配了这些漏洞的CVE ID。
本次公布的泄露信息中,McAfee VirusScan Linux企业版受到各种漏洞的影响,包括信息泄露,跨站点请求伪造(CSRF),跨站点脚本(XSS),远程代码执行,特权升级,特殊元素注入,暴力枚举身份认证,SQL注入和任意文件写入的问题。
Fasano在博客中写道:
即使一个Linux系统运行着英特尔的McAfee VirusScan企业版,它也会由于多个安全漏洞而受到远程攻击。其中一些漏洞组合起来甚至能以root权限执行远程代码。
10个漏洞中4个高危漏洞,其余6个中等。
利用4个漏洞来构建攻击链
Fasano解释了使McAfee VirusScan Linux企业版被攻陷的整个攻击链。
所有的一切始于其中一个漏洞,该漏洞(CVE-2016-8022)允许身份认证token的远程使用,这里还需要另一个漏洞(CVE-2016-8023)暴力枚举破解的配合。
攻击者部署一台恶意更新服务器,随后触发CVE-2016-8022漏洞,让客户端产品会去使用这台恶意升级服务器。然后,攻击者需要利用CVE-2016-8021任意文件写入漏洞来构建从升级服务器获取的恶意脚本。最终利用CVE-2016-8020提权漏洞,使得这个恶意脚本可以以root权限来执行。
最后一步,再发送带身份认证token的恶意请求来启动病毒扫描,这样就能实现以root权限执行恶意脚本了。总括一下,整个过程是下面这样的:
“要在一台远程设备上以Root权限执行代码:
1.利用CVE-2016-8022漏洞和CVE-2016-8023漏洞,来暴力破解身份认证token;
2.开始运行恶意升级服务器;
3.利用CVE-2016-8022漏洞,发送带身份认证token的请求至升级服务器;
4.利用CVE-2016-8021漏洞,迫使目标设备在其系统中构建恶意脚本;
5.利用CVE-2016-8020与CVE-2016-8021漏洞,发出带身份认证token的恶意请求,来启动病毒扫描过程,但实际上就是执行恶意脚本;
6.恶意脚本会在目标设备上以Root权限执行。
注意,利用此漏洞取决于是否存在用户登录Web界面时生成的有效登录token。 这些token仅在登录后大约一小时内有效。”
解决方案
受到漏洞影响的用户应尽快升级到Endpoint Security for Linux(ENSL)10.2或更高版本,VSEL产品很快就会寿终正寝。
CERT / CC(美国计算机紧急事件响应小组协调中心)也发布了安全公告,告知了客户McAfee VirusScan Linux企业版的不足。
“McAfee已经停止了Virus Scan 企业版产品,倾向于使用新的McAfee Endpoint Security产品来解决这些漏洞。 建议受影响的用户尽快升级到Endpoint Security 10.2版本或更高版本。 该升级服务向现有用户免费提供。”
* 参考来源:securityaffairs,FB小编bimeover编译,转载请注明来自FreeBuf.COM
