Lỗ hổng nghiêm trọng trong sản phẩm McAfee VirusScan Enterprise
Diễn đàn - Ngày đăng : 09:08, 16/12/2016
Những lỗ hổng này đã được nhà nghiên cứu Andrew Fasano thông báo tới Intel Security qua trung tâm điều phối CERT (CERT/CC) hồi tháng 6, nhưng đến tận cuối tuần trước người dùng mới được thông tin về bản vá.
Andrew Fasano nhận dạng hàng loạt các lỗ hổng khác nhau, bao gồm: lỗ hổng gây lộ lọt thông tin, lỗ hổng tạo ra những yếu tố lây nhiễm đặc biệt, lỗ hổng gây ra hình thức tấn sử dụng quyền chứng thực của người dùng (CSRF), lỗ hổng cho phép tin tặc chèn những tập lệnh độc hại vào website (XSS), lỗ hổng cho phép thực thi mã từ xa, lỗ hổng cho phép leo thang các quyền, lỗ hổng cho phép kiểu tấn công brute-force (kỹ thuật đoán thử đúng sai liên tục vào phần đăng nhập nào đó), lỗ hổng cho phép tấn công SQL Injection (một kỹ thuật tấn công bằng cách chèn các đoạn mã độc vào SQL để đánh lạc hướng xử lý) và lỗ hổng cho phép tin tặc ghi những tập tin tùy ý.
Intel Security xếp 4 lỗ hổng vào loại nghiêm trọng cao là: CVE-2016-8020, CVE-2016-8021, CVE-2016-8022, CVE-2016-8023, còn các lỗ hổng khác được đánh giá ở mức độ trung bình. Theo nhà nghiên cứu thì 4 lỗ hổng bảo mật nghiêm trọng này có thể bị tin tặc khai thác để thực thi mã từ xa với quyền truy nhập gốc.
Đầu tiên, tin tặc khai thác lỗ hổng CVE-2016-8023 để dò tìm mã xác thực, chúng sử dụng CVE-2016-8022 để sử dụng mã xác thực này từ xa. Tiếp đó, tin tặc triển khai một máy chủ cập nhật mã độc và lợi dụng CVE-2016-8022 để định cấu hình sản phẩm để dùng máy chủ này.
Tin tặc khai thác lỗ hổng CVE-2016-8021 (lỗ hổng cho phép ghi những tập tin tùy ý) để tạo ra một tập lệnh độc hại từ máy chủ cập nhật. Lỗ hổng này còn được kết hợp với lỗ hổng CVE-2016-8020 (lỗ hổng leo thang đặc quyền) để chiếm quyền truy nhập gốc. Điều đáng chú ý ở đây là dịch vụ quét chính trong McAfee VirusScan Enterprise lại hoạt động như quyền truy nhập gốc.
Cuối cùng, tin tặc có thể thực thi mã độc như một quyền truy nhập gốc trên hệ thống.
Theo Intel Security, những lỗ hổng này ảnh hưởng tới VirusScan Enterprise for Linux (VSEL) 2.0.3 và những phiên bản trước đó. Khi sản phẩm VSEL hết hạn sử dụng, nhà cung cấp khuyến cáo người dùng cập nhật Endpoint Security for Linux (ENSL) 10.2 hoặc những phiên bản sau này để xử lý các lỗ hổng. CERT/CC cho biết hiện tại khách hàng có thể cập nhật miễn phí.
CERT/CC cũng thông báo với người dùng một nguy cơ tấn công từ chối dịch vụ/ thực thi mã từ xa đang ảnh hưởng tới McAfee VirusScan Enterprise for Windows. Lỗ hổng này có trong phiên bản Windows, được nhận dạng bởi Shelby Kaba và chưa có bản vá.
(Theo securityweek.com)