McAfee VirusScan Linux企业版存在多个高危漏洞，请尽快升级

   <p style="text-align: center;"><a href="/misc/goto?guid=4958996531281140985" title="mcafee"><img alt="McAfee VirusScan Linux企业版存在多个高危漏洞，请尽快升级" src="https://simg.open-open.com/show/a1f8e70971b55a0de921e40c90900972.gif" /></a></p>    <p>Intel Security 旗下的安全产品 <a href="/misc/goto?guid=4958996531385991331">McAfee VirusScan Linux 企业版</a>被曝受 10 个漏洞影响，由几个漏洞构成的攻击链可以完成以 root 权限远程执行代码。  </p>    <p>几个月之前，麻省理工学院林肯实验室的安全专家 Andrew Fasano 就在 McAfee VirusScan Linux 企业版（VSEL）中发现多个漏洞，这些漏洞存在于 VSEL 1.9.2 版本至 2.0.2 版本。他在<a href="/misc/goto?guid=4958996531491205459">博客</a>中详细说明了这些漏洞，并表示某几个漏洞联合使用可以 root 权限执行远程代码。</p>    <p><strong>10 个漏洞，其中 4 个为高危</strong></p>    <p>Fasano 早在今年 6 月通过 CERT/CC（美国计算机紧急事件响应小组协调中心）向 Intel Security 提交了漏洞报告，公开日期原定于 8 月。但是 McAfee 安全团队不同意，和 Fasano 协商后，决定将公开日期延期到 9 月甚至 12 月。三个月安静地过去了，时间来到了 12 月 5 日，McAfee 提前公开了漏洞（原定于 12 月 12 日），顺势在 12 月 9 日的时候发布了安全公告并分配了这些漏洞的 CVE ID。</p>    <p><img alt="McAfee VirusScan Linux企业版存在多个高危漏洞，请尽快升级" src="https://simg.open-open.com/show/d782f86c77ec5abefef6664c2524c89e.jpg" /></p>    <p>本次公布的泄露信息中，McAfee VirusScan Linux 企业版受到各种漏洞的影响，包括信息泄露，跨站点请求伪造（CSRF），跨站点脚本（XSS），远程代码执行，特权升级，特殊元素注入，暴力枚举身份认证，SQL 注入和任意文件写入的问题。</p>    <p>Fasano 在博客中写道：</p>    <blockquote>     <p>即使一个 Linux 系统运行着英特尔的 McAfee VirusScan 企业版，它也会由于多个安全漏洞而受到远程攻击。其中一些漏洞组合起来甚至能以 root 权限执行远程代码。</p>    </blockquote>    <p><img alt="McAfee VirusScan Linux企业版存在多个高危漏洞，请尽快升级" src="https://simg.open-open.com/show/ee9d6ff96921134084924f2067f4b088.jpg" /></p>    <p style="text-align:center">10 个漏洞中 4 个高危漏洞，其余 6 个中等</p>    <p><strong>利用 4 个漏洞来构建攻击链</strong></p>    <p>Fasano 解释了使 McAfee VirusScan Linux 企业版陷入危机整个攻击链。</p>    <p>所有的一切始于其中一个漏洞，该漏洞（<a href="/misc/goto?guid=4958996531592041282">CVE-2016-8022</a>）允许身份认证 token 的远程使用，这里还需要另一个漏洞（<a href="/misc/goto?guid=4958996531687028396">CVE-2016-8023</a>）暴力枚举破解。</p>    <p>攻击者部署了一台恶意更新服务器，随后触发 CVE-2016-8022 漏洞，让客户端产品会去使用这台恶意升级服务器。然后，攻击者需要利用 <a href="/misc/goto?guid=4958996531792228834">CVE-2016-8021</a>任意文件写入漏洞来构建从升级服务器获取的恶意脚本。最终利用 <a href="/misc/goto?guid=4958996531887972497">CVE-2016-8020</a>提权漏洞，使得这个恶意脚本可以以 root 权限来执行。</p>    <p>最后一步，再发送带身份认真 token 的恶意请求来启动病毒扫描，这样就能实现以 root 权限执行恶意脚本。总括一下，整个过程是下面这样的：</p>    <p>“要在一台远程设备上以 Root 权限执行代码：</p>    <p>1. 利用 CVE-2016-8022 漏洞和 CVE-2016-8023 漏洞，来暴力破解身份认证 token；</p>    <p>2. 开始运行恶意升级服务器；</p>    <p>3. 利用 CVE-2016-8022 漏洞，发送带身份认证 token 的请求至升级服务器；</p>    <p>4. 利用 CVE-2016-8021 漏洞，迫使目标设备在其系统中构建恶意脚本；</p>    <p>5. 利用 CVE-2016-8020 与 CVE-2016-8021 漏洞，发出带身份认证 token 的恶意请求，来启动病毒扫描过程，但实际上就是执行恶意脚本；</p>    <p>6. 恶意脚本会在目标设备上以 Root 权限执行。</p>    <p>注意，利用此漏洞取决于是否存在用户登录 Web 界面时生成的有效登录 token。 这些 token 仅在登录后大约一小时内有效。”</p>    <p><strong>解决方案</strong></p>    <p>受到漏洞影响的用户应尽快升级到 Endpoint Security for Linux（ENSL）10.2 或更高版本，VSEL 产品很快就会寿终正寝。</p>    <p>CERT / CC（美国计算机紧急事件响应小组协调中心）也发布了<a href="/misc/goto?guid=4958996531993855915">安全</a>公告，告知了客户 McAfee VirusScan Linux 企业版的不足。</p>    <blockquote>     <p>“McAfee 已经停止了 Virus Scan 企业版产品，倾向于使用新的 McAfee Endpoint Security 产品来解决这些漏洞。 建议受影响的用户尽快升级到 Endpoint Security 10.2 版本或更高版本。 该升级服务向现有用户免费提供。”</p>    </blockquote>    <p>来自: <a href="/misc/goto?guid=4958996532092366102" id="link_source2">www.freebuf.com</a></p>