TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Andrew Fasano นักวิจัยด้านความมั่นคงปลอดภัย ออกมาเปิดเผยช่องโหว่หลายรายการบนผลิตภัณฑ์ VirusScan Enterprise ของ McAfee สำหรับระบบปฏิบัติการ Linux ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าถึงอุปกรณ์ที่รันซอฟต์แวร์ดังกล่าวอยู่โดยได้สิทธิ์เป็น Root พร้อมทั้งสามารถรันโค้ดแปลกปลอมตามต้องการได้
Fasano ระบุถึงขั้นตอนการเจาะระบบเพื่อให้ได้ Root Access ดังนี้
- เจาะช่องโหว่ CVE-2016-8022 และ CVE-2016-8023 เพื่อทำการ Brute Force ให้ได้ Authentication Token
- เริ่มรัน Malicious Update Server
- ส่ง Request โดยใช้ Authentication Token ที่ได้ไปอัปเดต Update Server
- บังคับเป้าหมายให้สร้าง Malicious Script บนระบบของตนโดยใช้ช่องโหว่ CVE-2016-8021
- ส่ง Malformed Request โดยใช้ Authentication Token เพื่อเริ่มการแสกนไวรัส แต่สั่งให้รัน Malicious Script แทนโดยใช้ช่องโหว่ CVE-2016-8020 และ CVE-2016-8021
- Malicious Script ถูกรันโดยสิทธิ์ Root บนเครื่องของเหยื่อ
- หมายเหตุ การเจาะระบบของ McAfee ผ่านช่องโหว่เหล่านั้นจะทำได้สำเร็จขึ้นอยู่กับ Login Token ซึ่งถูกสร้างขึ้นเมื่อผู้ใช้ล็อกอินผ่านหน้าเว็บ Token ดังกล่าวจะคงอยู่ประมาณ 1 ชั่วโมงหลังล็อกอิน
“McAfee VirusScan Enterprise สำหรับ Linux ของ Intel Security มีคุณลักษณะเฉพาะตัวที่นักวิจัยด้านช่องโหว่ชื่นชอบ ไม่ว่าจะเป็นการรันโดยใช้สิทธิ์ Root การอ้างว่าเพื่อทำให้เครื่องของคุณมั่นคงปลอดภัยยิ่งขึ้น การไม่ได้เป็นที่นิยมแบบเจาะจง และเหมือนกับว่ามันไม่ได้มีการอัปเดตมานานมาก” — Fasano ระบุ
ช่องโหว่เหล่านี้ส่งผลกระทบบน VirusScan Enterprise สำหรับ Linux เวอร์ชัน 1.9.2 ถึง 2.0.2 ซึ่งคงไม่มีแพทช์อัปเดตเนื่องจากผลิตภัณฑ์ End of Support ไปแล้ว ทาง McAfee แนะนำให้ผู้ใช้ผลิตภัณฑ์เวอร์ชันดังกล่าวอัปเกรดเป็น Endpoint Security สำหรับ Linux (เวอร์ชัน 10.2 หรือหลังจากนั้น) ซึ่งได้ทำการแก้ไขช่องโหว่เป็นที่เรียบร้อย (ลูกค้าปัจจุบันอัปเกรดได้ฟรี)
ที่มา: https://www.helpnetsecurity.com/2016/12/13/mcafee-virus-scan-enterprise/
