The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.12.2016 16:17  В антивирусе McAfee для Linux выявлена удалённая root-уязвимость

В проприетарном антивирусном пакете McAfee VirusScan Enterprise для платформы Linux выявлено 10 уязвимостей, сочетание которых даёт возможность организовать удалённую атаку, которая позволяет неаутентифицированному стороннему злоумышленнику выполнить свой код на сервере с правами пользователя root. Производителю было сообщено о проблеме ещё в июне, но обновление с устранением уязвимости было выпущено только вчера. Так как исправление уже доступно, обнаружившие уязвимости исследователи безопасности опубликовали рабочий прототип эксплоита.

По отдельности каждая из 10 уязвимостей не является критичной, но их сочетание позволяет выстроить цепочку для совершения атаки по получению полного контроля за системой. Исследователи также обратили внимание на непростительное для профессионального ПО, связанного с обеспечением безопасности, отношение к собственной защите - процесс выполняется с правами root без сброса привилегий. Второй процесс, обеспечивающий работу web-интерфейса запускается под отдельным пользователем, но все запросы всё равно передаются для обработки процессу, работающему под root

Найденные уязвимости:

  1. CVE-2016-8016: Возможность удалённой проверки наличия файла, не требующая аутентификации;
  2. CVE-2016-8017: Возможность удалённого чтения определённого класса файлов без аутентификации;
  3. CVE-2016-8018: Отсутствие токенов для защиты от CSRF-атак;
  4. CVE-2016-8019: Возможность осуществления межсайтового скриптинга;
  5. CVE-2016-8020: Удалённое выполнение кода и повышение привилегий при наличии аутентифицированного доступа к web-интерфейсу;
  6. CVE-2016-8021: Возможность записи файлов в известные пути через манипуляции с web-интерфейсом;
  7. CVE-2016-8022: Повторное использование токенов аутентификации;
  8. CVE-2016-8023: Возможность подбора токенов аутентификации;
  9. CVE-2016-8024: Разбиение HTTP-запросов;
  10. CVE-2016-8025: Подстановка SQL-кода при наличии аутентифицированного входа.

Метод работы эксплоита сводится к следующим шагам:

  • Подбор токенов аутентификации при помощи уязвимостей 7 и 8;
  • Создание подставного сервера доставки обновлений;
  • Использование седьмой уязвимости для отправки запроса с использованием подобранного токена аутентификации для совершения операции обновления сервера;
  • Сохранение в системе вредоносного скрипта при помощи уязвимости 6;
  • Отправка специально оформленного запроса с использованием подобранного токена аутентификации. Через эксплуатацию 5 и 6 уязвимостей инициируется запуск процесса сканирования на наличие вирусов, который приведёт к выполнению подготовленного ранее скрипта с правами root.


  1. Главная ссылка к новости (https://nation.state.actor/mca...)
  2. OpenNews: Пакет McAfee ScriptScan внесен в черный список дополнений Firefox
  3. OpenNews: Компания McAfee готовит к выпуску пакет для защиты устройств на базе Linux
  4. OpenNews: Показательные критические уязвимости в продуктах Symantec и Norton
  5. OpenNews: Уязвимость в Symantec Antivirus, позволяющая получить полный контроль над системой
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mcafee, virus
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Омомим, 16:26, 13/12/2016 [ответить] [смотреть все]    [к модератору]
  • +38 +/
    Потрясающе.
    Вот что было бы интересно узнать, так это статистику использования этого продукта среди пользователей Linux. Лично я только что узнал о его существовании под эту платформу, но по себе, как известно, не равняют.
    Кто им пользуется вообще?
     
     
  • 2.6, abu, 16:34, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • –6 +/
    Когда-то он спасал на винде там, где стояла 1с, потому что был легче Касперского... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, safsad, 18:32, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Там где жрет Касперский, спасал DrWeb А еще DrWeb спасает своей ES версией, т к... весь текст скрыт [показать]
     
     
  • 4.56, Аноним, 02:05, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Очепятка по Фрейду Имею несчастье наблюдать кошмарского на ряде машин Оно пери... весь текст скрыт [показать]
     
     
  • 5.71, 1, 14:13, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Просто по всяким регламентам, антивирус необходим И не абы какой, а сертифицир... весь текст скрыт [показать]
     
     
  • 6.79, Аноним, 05:36, 17/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    «Какие ваши доказательства?» ©
     
  • 2.13, Аноним, 17:00, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +5 +/
    Сервера проверки почтового трафика для win пользователей :)
     
  • 2.16, Мяут, 17:23, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –5 +/
    У нас на работе обязательное требование :) Да, даже для Линукса.
     
     
  • 3.22, Аноним, 18:36, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Линукс хоть сам и не поражается вендовой заразой хотя в вайне некоторые вири та... весь текст скрыт [показать]
     
  • 2.28, DmA, 19:46, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Если эта фигня от McAffee встречается на предустановленном компе или ноутбуке сн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Аноним, 08:55, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Поступаю почти схожим образом, обычно оставляю встроенный в десятке антивирус е... весь текст скрыт [показать]
     
  • 1.4, Michael Shigorin, 16:27, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Сапожник без сандалий...
     
     
  • 2.7, ann, 16:42, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +10 +/
    times new roman завезли?
     
     
  • 3.10, алекс, 16:48, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    вам PS Sans не нравится?
     
  • 3.17, Michael Shigorin, 17:43, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > times new roman завезли?

    Этот? -- http://packages.altlinux.org/fonts-ttf-ms

     
     
  • 4.21, Аноним, 18:35, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Видимо это был вопрос на тему https://www.linux.org.ru/forum/talks/13073862
     
  • 4.42, not ann, 20:52, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    т.е. в дистрибутиве альта пиратские шрифты из коробки?
     
     
  • 5.58, Crazy Alex, 02:22, 14/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Кхм, похоже, что да
     
  • 5.60, Аноним, 07:14, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если бы только шрифты Там ещё пиписитарные модули ядра драйверы на видеокарты ... весь текст скрыт [показать]
     
  • 1.5, Максим, 16:32, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Теперь я знаю о его существовании)))
     
  • 1.8, Аноним, 16:45, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    а не надо было криса увольнять!
     
     
  • 2.11, Онаним, 16:53, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    Касперского?
     
     
  • 3.23, Ilya Indigo, 18:55, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Тоже на ум пришла только эта фамилия.
     
  • 3.68, Аноним, 10:43, 14/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    да
     
  • 2.57, Аноним, 02:06, 14/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Все ненавидят Криса.
     
  • 1.9, алекс, 16:47, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    бэкдор!
     
     
  • 2.59, SampleID, 04:41, 14/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +5 +/
    Нет, это баги.
    Бэкдор у них наверняка без багов работает =).
     
  • 1.12, Аноним84701, 16:59, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    > Производителю было сообщено о проблеме ещё в июне, но обновление с устранением уязвимости было выпущено только вчера.

    Зато теперь мы знаем, насколько очередного проприетарщика заботят проблемы клиентов ;)

    > обратили внимание на непростительное для профессионального ПО для обеспечения безопасности отношение к собственной защите - процесс [B]выполняется с правами root без сброса привилегий[/B].

    А это уже "виндузячьи" привычки.
    AV-щиков тыкают носом в глупые ошибки уже не первый год:
    http://joxeankoret.com/download/breaking_av_software_44con.pdf
    2014 год: noexec, aslr, mprotect -- не, не слышали! Зато свои либы, не умеющие в способы защиты десятилетней+ давности (aslr, pax) в каждый процесс системы заинъектить  -- святое дело!
    AV софт все так же, как и 15 лет назад, падает от классической Zip-бомбы? Cовсем-совсем скоро исправим! Обещаем торжественно, просто подождите еще немного ... кстати, не забудте лицензию за 20+$/год обновить!

     
     
  • 2.51, Аноним, 23:40, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Проблемы проблемами, а исправления по расписанию ... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, тоже Аноним, 17:11, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    - А нельзя эту строчку - просто выкинуть?!
    - Ты чё? Ради нее все и писалось!
     
  • 1.15, th3m3, 17:16, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Антивирусы - сами угроза для безопасности. Эта проблема уже давно актуальна. Они имеют повышенные привилегии, но многие забывают, что они тоже не идеальны и содержат бреши в безопасности.
     
     
  • 2.18, booka, 18:26, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Но что же делать?
     
     
  • 3.24, антончик, 19:07, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Повышать собственную техническую грамотность, перестать отдавать предпочтение яз... весь текст скрыт [показать]
     
     
  • 4.26, Аноним, 19:20, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Писать ядра, драйверы, загрузчики, линковщики и компиляторы на жаве?
     
     
  • 5.75, ТТТ, 22:49, 14/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    На джаваскрипте
     
  • 4.35, DmA, 19:58, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Oberon Не ... весь текст скрыт [показать]
     
  • 4.38, DR94, 20:19, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Еще один неосилятор, практически в любой книге по сям очень подробно расписывают... весь текст скрыт [показать]
     
     
  • 5.41, Аноним, 20:45, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    в каждой книге писано, да не каждый книгу читывает.
     
  • 5.50, Аноним, 23:38, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Это был выперд в сторону разработчиков OpenBSD?

     
     
  • 6.54, DR94, 01:11, 14/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В сторону неосиляторов "ужс как сложна" языков...
     
  • 5.81, Аноним, 06:08, 17/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    и почему-же [I]ВСЕ[/I] так не пишут и оставляют потенциальные лазейки?
     
  • 3.29, DmA, 19:48, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Запускать ОС с привилегиями пользователя, а все процессы пользователя запускать ... весь текст скрыт [показать]
     
  • 3.48, Led, 22:35, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    > Но что же делать?

    Страдать, вендузоед, страдать.

     
  • 2.25, Запрещенка, 19:15, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Антивирусы пишут для внедрения в инфраструктуры чужих предприятий государст бэкд... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, DmA, 19:51, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Так вот почему у бюджетников денег нет, из-за антивирусов, а я думал кризис и по... весь текст скрыт [показать]
     
     
  • 4.82, Аноним, 06:11, 17/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    есть такое понятие как промышленный шпионаж, ознакомься с ним кому принадлежит M... весь текст скрыт [показать]
     
  • 3.45, Анонимс, 22:21, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    филантропия типа люди идеальны, а программы нет ... весь текст скрыт [показать]
     
  • 1.20, Аноним, 18:34, 13/12/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    Кто там DrWeb рекомендовал Имел опыт репорта десятка вирусов в него вот с такой... весь текст скрыт [показать]
     
     
  • 2.27, A, 19:32, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Как посчитать два года на двух датах, если первая указывает на 16-й месяц?
     
  • 2.34, DmA, 19:57, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Я тоже один раз обнаружил некую тварь, которую ни доктор веб, ни касперский не о... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.61, Аноним, 08:19, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Мы однажды заразу подхватили, у нас на виндовом серваке в корне диска С создава... весь текст скрыт [показать]
     
  • 2.37, Zenitur, 20:10, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    По моему субъективному мнению, не являющееся истиной в последней инстанции, Dr ... весь текст скрыт [показать] [показать ветку]
     
  • 2.39, Аноним, 20:19, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Видимо, ты харей не вышел Всё, что я им сдавал анализировалось и добавлялось в ... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Выключатель, 19:58, 13/12/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Как можно сбросить привилегии с основного процесса? Ведь ему теоретически может потребоваться доступ на чтение/запись к любому файлу в системе.
     
     
  • 2.40, тоже Аноним, 20:26, 13/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Антивирусу, который держит оборону системы при действиях пользователя, никакие п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Выключатель, 20:57, 13/12/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    И как быть если в системе работает несколько пользователей одновременно?
     
     
  • 4.44, тоже Аноним, 21:37, 13/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вы же не запускаете файловый менеджер с рут-правами только потому, что с ним мог... весь текст скрыт [показать]
     
     
  • 5.62, Выключатель, 08:20, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    В отличии от файлового менеджера, антивирус вероятно будет использовать перехват... весь текст скрыт [показать]
     
     
  • 6.65, тоже Аноним, 09:29, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Под окошками этот тупиковый путь уже давно пройден Антивирус, который обязатель... весь текст скрыт [показать]
     
  • 3.55, Анонимс, 01:41, 14/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а если легальное прерывание завершается эскалацией привилегий ... весь текст скрыт [показать]
     
  • 2.76, DmA, 08:21, 15/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    тупизм,зачем ему доступ и проверка тех файлов, в которых по определению нет виру... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.77, Выключатель, 20:58, 15/12/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Я правильно понимаю, что Вы можете предложить архитектуру антивирусной защиты в ... весь текст скрыт [показать]
     
  • 1.53, cat666, 00:57, 14/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Лет эдак 10 назад сей продукт на Винде потряс меня реализацией, всего чего только можно, через RPC, кучей уязвимостей да кривым оркестратором. Приятно видеть что даже спустя столько лет даже на Linux McAfee продолжает держать марку.
     
  • 1.64, Адекват, 09:14, 14/12/2016 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Каждый раз, когда я узнаю о какой-то серъезной проблеме в линукс, я думаю, что б... весь текст скрыт [показать]
     
     
  • 2.69, Аноним, 11:20, 14/12/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    И еще при этом какой Дабл килл https www youtube com watch v bKgf5PaBzyg ... весь текст скрыт [показать] [показать ветку]
     
  • 1.74, Аноним, 22:07, 14/12/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    с такими антивирусами и вирусы не нужны
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor