wechatimg12

McAfee 修复企业版 Linux 杀毒软件远程代码执行漏洞,可获得 Root 权限

  • 浏览次数 3612
  • 喜欢 0
  • 评分 12345

外媒报道,安全公司 McAfee 耗时长达 6 个月修复了企业版 Linux 杀毒软件( McAfee VirusScan Enterprise for Linux )的 10 个关键漏洞,攻击者可以利用这些漏洞以 Root 权限远程执行代码。

McAfee VirusScan Enterprise for Linux 利用一个基于 Linux 的独特访问扫描程序可持续监控系统中是否存在潜在攻击。 自动化的防病毒安全更新可以在无需重新启动系统的情况下,保护企业免受最新威胁的侵扰。

林肯实验室安全研究员 Andrew Fasano 于 6 月 23 日发现了漏洞并通过美国计算机应急响应中心报告给了 McAfee 公司。McAfee 申请为期六个月的非披露期用于修复漏洞,时长远远超过标准的 90 天非披露期。这些漏洞于在 12 月 9 日修补完毕并在官网公布漏洞详情。

%e5%b1%8f%e5%b9%95%e5%bf%ab%e7%85%a7-2016-12-13-16-55-54

Fasano 称通过利用一系列漏洞,攻击者可以获得设备的 Root 权限并远程执行代码。

首先,攻击者可以利用两个漏洞 ( CVE-2016-8022, CVE-2016-8023 ) 暴力破解认证凭证并登录 McAfee Linux 的客户端。

之后,攻击者使用另一个漏洞( CVE-2016-8021 )创建恶意脚本并强制软件更新写入系统。脚本执行后,再利用相同的漏洞( CVE-2016-8021 ) 以及身份验证远程代码执行提权漏洞( CVE-2016-8020 )获得提权。

最终,攻击者结合这些漏洞和恶意脚本,在受害者设备上以 Root 权限操作并执行代码。

Fasano 称利用这些漏洞有个前提条件,当用户登录 McAfee Web 接口时会产生一个登录令牌,时效为一个小时,攻击者需要在此期间完成令牌的暴力破解。

此外,Fasano 还发现存在远程读取未经身份验证的文件、测试漏洞( CVE-2016-8016,CVE-2016-8017 ); 跨站请求伪造令牌漏洞( CVE-2016-8018 ); 跨站点脚本漏洞( CVE-2016-8019 ); HTTP响应拆分漏洞( CVE-2016-8024 ),以及 SQL 注入漏洞( CVE-2016-8025 )。

受影响的软件:
VirusScan Enterprise for Linux ( VSEL ) 2.0.3 及更早版本

修复建议:
下载补丁修复漏洞或使用 McAfee Endpoint Security for Linux ( ENSL ) 10.2 及更高版本。

稿源:本站翻译整理,封面来源:百度搜索