McAfee VirusScan Linux企業版存在多個高危漏洞，請儘快升級

Intel Security旗下的安全產品McAfee VirusScan Linux企業版被曝受10個漏洞影響，由幾個漏洞構成的攻擊鏈可以完成以root許可權遠程執行代碼。

幾個月之前，麻省理工學院林肯實驗室的安全專家Andrew Fasano就在McAfee VirusScan Linux企業版（VSEL）中發現多個漏洞，這些漏洞存在於

VSEL 1.9.2版本至2.0.2版本

。

他在博客中詳細說明了這些漏洞，並表示

某幾個漏洞聯合使用可以root許可權執行遠程代碼。

10個漏洞，其中4個為高危

Fasano早在今年6月通過CERT/CC（美國計算機緊急事件響應小組協調中心）向Intel Security提交了漏洞報告，公開日期原定於8月。

但是McAfee安全團隊不同意，和Fasano協商後，決定將公開日期延期到9月甚至12月。三個月安靜地過去了，時間來到了12月5日，McAfee提前公開了漏洞（原定於12月12日），順勢在12月9日的時候發布了安全公告並分配了這些漏洞的CVE ID。

本次公布的泄露信息中，McAfee VirusScan Linux企業版

受到各種漏洞的影響，包括信息泄露，跨站點請求偽造（CSRF），跨站點腳本（XSS），遠程代碼執行，特權升級，特殊元素注入，暴力枚舉身份認證，SQL注入和任意文件寫入的問題。

Fasano在博客中寫道：

即使一個Linux系統運行著英特爾的McAfee VirusScan企業版，它也會由於多個安全漏洞而受到遠程攻擊。其中一些漏洞組合起來甚至能以root許可權執行遠程代碼。

10個漏洞中4個高危漏洞，其餘6個中等。

利用4個漏洞來構建攻擊鏈

Fasano解釋了使McAfee VirusScan Linux企業版陷入危機整個攻擊鏈。

所有的一切始於其中一個漏洞，該漏洞

（

CVE-2016-8022

）

允許身份認證token的遠程使用，這裡還需要另一個漏洞（CVE-2016-8023）暴力枚舉破解。

攻擊者部署了一台惡意更新伺服器，

隨後觸發CVE-2016-8022漏洞，讓客戶端產品會去使用這台惡意升級伺服器

。

然後，攻擊者需要利用CVE-2016-8021任意文件寫入漏洞來構建從升級伺服器獲取的惡意腳本。最終利用CVE-2016-8020提權漏洞，使得這個惡意腳本可以以root許可權來執行。

最後一步，再發送帶身份認真token的惡意請求來啟動病毒掃描，這樣就能實現以root許可權執行惡意腳本。總括一下，整個過程是下面這樣的：

「要在一台遠程設備上以Root許可權執行代碼：

1.利用CVE-2016-8022漏洞和CVE-2016-8023漏洞，來暴力破解身份認證token；

2.開始運行惡意升級伺服器；

3.利用CVE-2016-8022漏洞，發送帶身份認證token的請求至升級伺服器；

4.利用CVE-2016-8021漏洞，迫使目標設備在其系統中構建惡意腳本；

5.利用CVE-2016-8020與CVE-2016-8021漏洞，發出帶身份認證token的惡意請求，來啟動病毒掃描過程，但實際上就是執行惡意腳本；

6.惡意腳本會在目標設備上以Root許可權執行。

注意，利用此漏洞取決於是否存在用戶登錄Web界面時生成的有效登錄token。 這些token僅在登錄後大約一小時內有效。」

解決方案

受到漏洞影響的用戶應儘快升級到Endpoint Security for Linux（ENSL）10.2或更高版本，VSEL產品很快就會壽終正寢。

CERT / CC

（

美國計算機緊急事件響應小組協調中心

）也

發布了安全公告，告知了客戶

McAfee VirusScan Linux企業版的不足。

「McAfee已經停止了Virus Scan 企業版產品，傾向於使用新的McAfee Endpoint Security產品來解決這些漏洞。 建議受影響的用戶儘快升級到Endpoint Security 10.2版本或更高版本。 該升級服務向現有用戶免費提供。」

* 參考來源：

securityaffairs

，FB小編bimeover編譯，轉載請註明來自

FreeBuf.COM