Beveiligingslek in McAfee VirusScan Enterprise voor Linux kan hackers root access geven

Abonneer je gratis op Techzine!

Beveiligingsonderzoeker Andrew Fasano van MIT Lincoln Laboratory heeft deze week informatie gepubliceerd over maar liefst 10 beveiligingslekken in McAfee VirusScan Enterprise voor Linux. Als deze tien lekken gezamenlijk worden misbruikt kan een aanvaller zichzelf root access verschaffen tot de Linux-machine.

Fasona heeft ook zijn motivatie beschreven om juist dit pakket aan wat testen te onderwerpen en te zien hoe veilig het is. Volgens hem heeft Intel McAfee VirusScan Enterprise voor Linux alles waar beveiligingsonderzoekers van houden. Om te beginnen draait het pakket als root-gebruiker op de server, claimt het de machine een stuk veiliger te maken, het is niet enorm populair en misschien wel de belangrijkste reden, het is al een eeuwigheid niet voorzien van updates.

Het beveiligingspakket bestaat eigenlijk uit twee applicaties, de eerste draait als root en kan gezien worden als de scanner, die doet de controles of een specifiek bestand veilig is, daarnaast draait de andere applicatie als een normale gebruiker zonder specifieke rechten, deze laatste applicatie is een webserver waarmee de applicatie kan worden geconfigureerd en opdrachten kunnen worden verstuurd naar de scanner. Dit gebeurd via een lokale socket die de root-applicatie open heeft staan.

Als een gebruiker opdrachten geeft aan de webserver worden deze omgezet in een ander formaat en vervolgens naar die lokale socket gestuurd. De webservice kent echter weinig beveiligingen of beperkingen wat een gebruiker naar de root-applicatie kan sturen.

De tien lekken die Fasona heeft gevonden bestaan uit trucjes om te controleren of een bestand bestaat, of inzicht te krijgen in een bestand, maar ook het commando dat naar de root-applicatie wordt gestuurd, waarbij een executable wordt aangeroepen kan worden gemanipuleerd zodat er een hele andere applicatie wordt opgestart. Tot slot is het mogelijk om cookies van ingelogde gebruikers te onderscheppen en van de updateserver, zodat deze gemanipuleerd kan worden. Uiteindelijk kan door een aantal van deze problemen te misbruiken, er root-access worden verkregen op de machine. Iets wat hij in zijn blog uiteen zet en ook een voorbeeld code voor heeft gepubliceerd.

McAfee heeft ruim de tijd gekregen om deze beveiligingslekken te dichten, in juni zijn de lekken gemeld, in juli heeft McAfee uitstel gevraagd tot september of mogelijk december. Daarna heeft Fasona niets meer vernoemn, maar hij op 5 december kenbaar gemaakt aan McAfee dat hij zijn vondsten zou gaan publiceren, op 9 december zijn uiteindelijk door McAfee de patches beschikbaar gemaakt. Bedrijven die gebruik maken van dit pakket worden aangeraden zo snel mogelijk te updaten.