Bug ช่องโหว่บน McAfee VirusScan Enterprise เสี่ยงถูกเข้าควบคุม Device ส่วนตัว

Andrew Fasano นักวิจัยด้านความมั่นคงปลอดภัย ออกมาเปิดเผยช่องโหว่หลายรายการบนผลิตภัณฑ์ VirusScan Enterprise ของ McAfee สำหรับระบบปฏิบัติการ Linux ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าถึงอุปกรณ์ที่รันซอฟต์แวร์ดังกล่าวอยู่โดยได้สิทธิ์เป็น Root พร้อมทั้งสามารถรันโค้ดแปลกปลอมตามต้องการได้
Fasano ระบุถึงขั้นตอนการเจาะระบบเพื่อให้ได้ Root Access ดังนี้

เจาะช่องโหว่ CVE-2016-8022 และ CVE-2016-8023 เพื่อทำการ Brute Force ให้ได้ Authentication Token
เริ่มรัน Malicious Update Server
ส่ง Request โดยใช้ Authentication Token ที่ได้ไปอัปเดต Update Server
บังคับเป้าหมายให้สร้าง Malicious Script บนระบบของตนโดยใช้ช่องโหว่ CVE-2016-8021
ส่ง Malformed Request โดยใช้ Authentication Token เพื่อเริ่มการแสกนไวรัส แต่สั่งให้รัน Malicious Script แทนโดยใช้ช่องโหว่ CVE-2016-8020 และ CVE-2016-8021
Malicious Script ถูกรันโดยสิทธิ์ Root บนเครื่องของเหยื่อ
หมายเหตุ การเจาะระบบของ McAfee ผ่านช่องโหว่เหล่านั้นจะทำได้สำเร็จขึ้นอยู่กับ Login Token ซึ่งถูกสร้างขึ้นเมื่อผู้ใช้ล็อกอินผ่านหน้าเว็บ Token ดังกล่าวจะคงอยู่ประมาณ 1 ชั่วโมงหลังล็อกอิน
“McAfee VirusScan Enterprise สำหรับ Linux ของ Intel Security มีคุณลักษณะเฉพาะตัวที่นักวิจัยด้านช่องโหว่ชื่นชอบ ไม่ว่าจะเป็นการรันโดยใช้สิทธิ์ Root การอ้างว่าเพื่อทำให้เครื่องของคุณมั่นคงปลอดภัยยิ่งขึ้น การไม่ได้เป็นที่นิยมแบบเจาะจง และเหมือนกับว่ามันไม่ได้มีการอัปเดตมานานมาก” — Fasano ระบุ

ช่องโหว่เหล่านี้ส่งผลกระทบบน VirusScan Enterprise สำหรับ Linux เวอร์ชัน 1.9.2 ถึง 2.0.2 ซึ่งคงไม่มีแพทช์อัปเดตเนื่องจากผลิตภัณฑ์ End of Support ไปแล้ว ทาง McAfee แนะนำให้ผู้ใช้ผลิตภัณฑ์เวอร์ชันดังกล่าวอัปเกรดเป็น Endpoint Security สำหรับ Linux (เวอร์ชัน 10.2 หรือหลังจากนั้น) ซึ่งได้ทำการแก้ไขช่องโหว่เป็นที่เรียบร้อย (ลูกค้าปัจจุบันอัปเกรดได้ฟรี)

ที่มา : พลเมืองรากหญ้าไซเบอร์ : Thailand People Cyber Army