WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phát hiện lỗ hổng nghiêm trọng trong McAfee Enterprise
Sản phẩm McAfee VirusScan Enterprise của hãng An ninh Intel dành cho hệ điều hành Linux bị ảnh hưởng bởi 10 lỗ hổng, gồm những lỗ hổng nghiêm trọng có thể được kết hợp để thực thi mã từ xa với đặc quyền root.
Thông qua CERT/CC, Intel Security đã được báo về các lỗ hổng này vào tháng 6 nhưng cuối tuần qua người dùng mới được thông báo về các bản vá lỗi.
Một loạt các lỗ hổng được xác nhận bao gồm tiết lộ thông tin, lây nhiễm thành phần đặc biệt, cross-site request forgery (CSRF), cross-site scripting (XSS), thực thi mã từ xa, leo thang đặc quyền, brute-force vượt qua cơ chế xác thực, SQL injection và chiếm quyền ghi file vào thư mục.
Intel Security đã phân loại 4 lỗ hổng có mức độ nghiêm trọng cao, còn lại là mức độ nghiêm trọng trung bình. Theo các nhà nghiên cứu, 4 lỗ hổng trong số đó có thể được kết hợp để thực thi mã từ xa với đặc quyền root.
Cuộc tấn công bắt đầu với một lỗ hổng cho phép sử dụng từ xa token xác thực (CVE-2016-8022) để tấn công brute-forced (CVE-2016-8022). Kẻ tấn công sau đó triển khai một server update độc hại và dùng CVE-2016-8022 để cấu hình sản phẩm sử máy chủ đó.
Lỗ hổng chiếm quyền ghi file vào thư mục (CVE-2016-8021) bị khai thác để tạo ra một script độc hại từ server update. Lỗ hổng này có thể được kết hợp với lỗ hổng leo thang đặc quyền (CVE-2016-8021) cho phép kẻ tấn công chiếm quyền root, thường được chạy trên các dịch vụ quét chính của McAfee VirusScan Enterprise.
Cuối cùng, kẻ tấn công có thể thực thi script độc hại với quyền root trên hệ thống. Các nhà nghiên cứu đã công bố mã proof-of-concept (PoC) cho chuỗi khai thác này.
Theo Intel Security, các lỗ hổng ảnh hưởng đến VirusScan Enterprise cho hệ điều hành Linux (VSEL) từ phiên bản 2.0.3 trở về trước. Vì các sản phẩm VSEL sẽ sớm ngừng sử dụng nên khách hàng được khuyến cáo cập nhật Endpoint Security cho Linux bản 10.2 hoặc cao hơn để xử lý các lỗ hổng.
Thông qua CERT/CC, Intel Security đã được báo về các lỗ hổng này vào tháng 6 nhưng cuối tuần qua người dùng mới được thông báo về các bản vá lỗi.
Một loạt các lỗ hổng được xác nhận bao gồm tiết lộ thông tin, lây nhiễm thành phần đặc biệt, cross-site request forgery (CSRF), cross-site scripting (XSS), thực thi mã từ xa, leo thang đặc quyền, brute-force vượt qua cơ chế xác thực, SQL injection và chiếm quyền ghi file vào thư mục.
Intel Security đã phân loại 4 lỗ hổng có mức độ nghiêm trọng cao, còn lại là mức độ nghiêm trọng trung bình. Theo các nhà nghiên cứu, 4 lỗ hổng trong số đó có thể được kết hợp để thực thi mã từ xa với đặc quyền root.
Cuộc tấn công bắt đầu với một lỗ hổng cho phép sử dụng từ xa token xác thực (CVE-2016-8022) để tấn công brute-forced (CVE-2016-8022). Kẻ tấn công sau đó triển khai một server update độc hại và dùng CVE-2016-8022 để cấu hình sản phẩm sử máy chủ đó.
Lỗ hổng chiếm quyền ghi file vào thư mục (CVE-2016-8021) bị khai thác để tạo ra một script độc hại từ server update. Lỗ hổng này có thể được kết hợp với lỗ hổng leo thang đặc quyền (CVE-2016-8021) cho phép kẻ tấn công chiếm quyền root, thường được chạy trên các dịch vụ quét chính của McAfee VirusScan Enterprise.
Cuối cùng, kẻ tấn công có thể thực thi script độc hại với quyền root trên hệ thống. Các nhà nghiên cứu đã công bố mã proof-of-concept (PoC) cho chuỗi khai thác này.
Theo Intel Security, các lỗ hổng ảnh hưởng đến VirusScan Enterprise cho hệ điều hành Linux (VSEL) từ phiên bản 2.0.3 trở về trước. Vì các sản phẩm VSEL sẽ sớm ngừng sử dụng nên khách hàng được khuyến cáo cập nhật Endpoint Security cho Linux bản 10.2 hoặc cao hơn để xử lý các lỗ hổng.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: