Уязвимости в клиенте McAfee VirusScan Enterprise для Linux позволяют злоумышленникам удаленно скомпрометировать систему, сообщает исследователь Лаборатории Линкольна Массачусетского технологического института Эндрю Фасано (Andrew Fasano). Совместная эксплуатация некоторых из них позволяет удаленно выполнить код с привилегиями суперпользователя.
В общей сложности Фасано обнаружил 10 уязвимостей. Проблемы затрагивают версии продукта с 1.9.2 (выпущена в феврале 2015 г.) до 2.0.2 (выпущена в апреле 2016 г). Разница между новой версией и более старыми заключается в добавлении обновленной библиотеки libc, упрощающей эксплуатацию уязвимостей.
Атака начинается с эксплуатации уязвимостей CVE-2016-8022 и CVE-2016-8023, позволяющих осуществить брутфорс-атаку на аутентификационные токены и использовать их для подключения к клиентам McAfee Linux. Оттуда злоумышленник может с помощью CVE-2016-8021 заставить уязвимое ПО создать вредоносные скрипты. Эксплуатируя эту же уязвимость вместе с CVE-2016-8020 и CVE-2016-8021 (позволяют повысить привилегии), атакующий способен выполнить данные скрипты с правами суперпользователя.
Исследователь сообщил о проблемах Компьютерной группе реагирования на чрезвычайные ситуации (CERT) еще в июне, и дата публичного раскрытия была назначена на 23 августа. CERT в свою очередь уведомила производителя, и в июле представители McAfee попросили отсрочить дату до сентября или даже до декабря. В течение нескольких месяцев производитель не давал о себе знать, пока 5 декабря не объявил 12 декабря днем раскрытия уязвимостей. 9 декабря McAfee наконец выпустил бюллетень безопасности. (McAfee/NovostIT)