INTEL SEGURIDAD MCAFEE VIRUSSCAN ENTERPRISE PARA LINUX

El experto en seguridad Andrew Fasano ha descubierto múltiples vulnerabilidades en el software McAfee VirusScan Enterprise de la Seguridad Intel para Linux, uno de ellos puede ser encadenado por los atacantes para obtener privilegios de root y ejecutar código remoto.

Fasano informó a través de Intel CERT/CC en junio, pero la divulgación pública de los asuntos llegó hace unos días una vez que se ha lanzado parches para solucionar las vulnerabilidades. El investigador de seguridad también ha publicado el código de prueba de concepto (PoC) para esta cadena de ataque.

La solución de seguridad se ve afectada por una amplia gama de defectos, incluyendo la divulgación de información, a través del sitio de falsificación de petición (CSRF), cross-site scripting (XSS), la ejecución remota de código, una escalada de privilegios, la inyección especial elemento, la autenticación de fuerza bruta, SQL inyección, y los problemas de escritura de archivos arbitrarios.

"Un sistema que ejecuta de Intel McAfee VirusScan Enterprise para Linux puede verse comprometida por un atacante remoto debido a una serie de vulnerabilidades de seguridad. Algunas de estas vulnerabilidades se pueden encadenar juntos para permitir la ejecución de código remoto como root. " Segun Fasano en un blog.

Cuatro de cada diez vulnerabilidades están clasificados como de alta gravedad, mientras que el restante emitido haber sido calificado de gravedad media.

Fasano explicó toda la cadena de ataque para poner en peligro la solución de McAfee VirusScan Enterprise de la Seguridad Intel para Linux, el hack comienza desencadenar una falla que permite el uso de tokens de autenticación remota (CVE-2016-8022) que han sido forzados-bruta (CVE-2016- 8023).

El atacante despliega un servidor de actualización malicioso y desencadena la CVE-2016 a 8022 para configurar el producto a utilizar ese servidor. El atacante explota una vulnerabilidad de escritura de archivo arbitrario (CVE-2016 a 8021) para crear un script malicioso obtenida del servidor de actualización. La secuencia de comandos puede ejecutarse con privilegios de root mediante la explotación de la escalada de privilegios CVE-2.016-8020.

El último paso consiste en el envío de una solicitud con formato incorrecto de token de autenticación para iniciar la exploración de virus que en lugar ejecuta el script malicioso con permisos de root.

Como ejecutar código usuario root en una máquina remota

  • 1 El Bruto token de autenticación utilizando la fuerza de la vulnerabilidad 7 y la vulnerabilidad 8.
  • 2 Empezar a ejecutar el servidor de actualización malicioso.
  • 3 Enviar solicitud con el token de autenticación para actualizar el servidor de actualización utilizando la vulnerabilidad 7.
  • 4 Fuerza objetivo de crear un script malicioso en su sistema utilizando la vulnerabilidad 6.
  • 5 Enviar solicitud con formato incorrecto de token de autenticación para iniciar la exploración de virus, pero ejecutar código malicioso en su lugar mediante el uso de la vulnerabilidad 5 y la vulnerabilidad 6.
  • 6 El script malicioso se ejecuta entonces por el usuario root en la máquina víctima.

La explotación de esta vulnerabilidad depende de la existencia de un token de inicio de sesión válidas que se genera cada vez que un usuario inicia sesión en la interfaz web. Estas fichas son válidos durante aproximadamente una hora después de la entrada.

De acuerdo a Intel de Seguridad, los defectos afectan VirusScan Enterprise para Linux (VSEL) 2.0.3 y anteriores. La compañía insta a los usuarios a actualizar a Endpoint Security para Linux (ENSL) 10.2 o posterior, porque el producto VSEL pronto alcanzará el final de la vida

El CERT / CC publicó un parche de seguridad para informar a los clientes de los defectos en el McAfee Virus Scan Enterprise.


Fecha actualización el 2016-12-13. Fecha publicación el 2016-12-13. Categoría: Linux. Autor: Oscar olg Mapa del sitio
McAfee VirusScan Enterprise para Linux