McAfee VirusScan Linux企業版存在多個高危漏洞，請盡快升級

Intel Security 旗下的安全產品 McAfee VirusScan Linux 企業版被曝受 10 個漏洞影響，由幾個漏洞構成的攻擊鏈可以完成以 root 權限遠程執行代碼。  

幾個月之前，麻省理工學院林肯實驗室的安全專家 Andrew Fasano 就在 McAfee VirusScan Linux 企業版（VSEL）中發現多個漏洞，這些漏洞存在于 VSEL 1.9.2 版本至 2.0.2 版本。他在博客中詳細說明了這些漏洞，并表示某幾個漏洞聯合使用可以 root 權限執行遠程代碼。

10 個漏洞，其中 4 個為高危

Fasano 早在今年 6 月通過 CERT/CC（美國計算機緊急事件響應小組協調中心）向 Intel Security 提交了漏洞報告，公開日期原定于 8 月。但是 McAfee 安全團隊不同意，和 Fasano 協商后，決定將公開日期延期到 9 月甚至 12 月。三個月安靜地過去了，時間來到了 12 月 5 日，McAfee 提前公開了漏洞（原定于 12 月 12 日），順勢在 12 月 9 日的時候發布了安全公告并分配了這些漏洞的 CVE ID。

本次公布的泄露信息中，McAfee VirusScan Linux 企業版受到各種漏洞的影響，包括信息泄露，跨站點請求偽造（CSRF），跨站點腳本（XSS），遠程代碼執行，特權升級，特殊元素注入，暴力枚舉身份認證，SQL 注入和任意文件寫入的問題。

Fasano 在博客中寫道：

即使一個 Linux 系統運行著英特爾的 McAfee VirusScan 企業版，它也會由于多個安全漏洞而受到遠程攻擊。其中一些漏洞組合起來甚至能以 root 權限執行遠程代碼。

10 個漏洞中 4 個高危漏洞，其余 6 個中等

利用 4 個漏洞來構建攻擊鏈

Fasano 解釋了使 McAfee VirusScan Linux 企業版陷入危機整個攻擊鏈。

所有的一切始于其中一個漏洞，該漏洞（CVE-2016-8022）允許身份認證 token 的遠程使用，這里還需要另一個漏洞（CVE-2016-8023）暴力枚舉破解。

攻擊者部署了一臺惡意更新服務器，隨后觸發 CVE-2016-8022 漏洞，讓客戶端產品會去使用這臺惡意升級服務器。然后，攻擊者需要利用 CVE-2016-8021任意文件寫入漏洞來構建從升級服務器獲取的惡意腳本。最終利用 CVE-2016-8020提權漏洞，使得這個惡意腳本可以以 root 權限來執行。

最后一步，再發送帶身份認真 token 的惡意請求來啟動病毒掃描，這樣就能實現以 root 權限執行惡意腳本。總括一下，整個過程是下面這樣的：

“要在一臺遠程設備上以 Root 權限執行代碼：

1. 利用 CVE-2016-8022 漏洞和 CVE-2016-8023 漏洞，來暴力破解身份認證 token；

2. 開始運行惡意升級服務器；

3. 利用 CVE-2016-8022 漏洞，發送帶身份認證 token 的請求至升級服務器；

4. 利用 CVE-2016-8021 漏洞，迫使目標設備在其系統中構建惡意腳本；

5. 利用 CVE-2016-8020 與 CVE-2016-8021 漏洞，發出帶身份認證 token 的惡意請求，來啟動病毒掃描過程，但實際上就是執行惡意腳本；

6. 惡意腳本會在目標設備上以 Root 權限執行。

注意，利用此漏洞取決于是否存在用戶登錄 Web 界面時生成的有效登錄 token。 這些 token 僅在登錄后大約一小時內有效。”

解決方案

受到漏洞影響的用戶應盡快升級到 Endpoint Security for Linux（ENSL）10.2 或更高版本，VSEL 產品很快就會壽終正寢。

CERT / CC（美國計算機緊急事件響應小組協調中心）也發布了安全公告，告知了客戶 McAfee VirusScan Linux 企業版的不足。

“McAfee 已經停止了 Virus Scan 企業版產品，傾向于使用新的 McAfee Endpoint Security 產品來解決這些漏洞。 建議受影響的用戶盡快升級到 Endpoint Security 10.2 版本或更高版本。 該升級服務向現有用戶免費提供。”

來自: www.freebuf.com