Sicherheitspatches: McAfee VirusScan Enterprise gefährdet Linux-Systeme

Kombinieren Angreifer mehre Schwachstellen, können sie Schadcode auf Linux-Systeme schieben und ausführen.

In Pocket speichern vorlesen Druckansicht 54 Kommentare lesen
Sicherheitspatches: McAfee VirusScan Enterprise gefährdet Linux-Systeme

(Bild: Christiaan Colen, CC BY 2.0)

Lesezeit: 2 Min.

Die Anti-Viren-Anwendung von McAfee VirusScan Enterprise für Linux ist in mehreren Versionen verwundbar. Der Anbieter hat nun Sicherheitsupdates für zehn Schwachstellen veröffentlicht. Dem Sicherheitsforscher und Entdecker der Schwachstellen Andrew Fasano zufolge hat McAfee rund sechs Monate gebraucht, um die Lücken zu schließen. Gefährdet sollen alle Versionen bis einschließlich 2.0.3 sein.

Den Bedrohungsgrad von vier Schwachstellen stuft der Hersteller mit hoch ein – die verbleibenden sechs Lücken mit mittel. Prekär dabei ist, dass wenn Angreifer nach Fasano mehrere Schwachstellen in einer bestimmten Reihenfolge ausnutzen, ganze Linux-Systeme von einer feindlichen Übernahme gefährdet sind.

Fasano skizziert, dass sich Angreifer durch Ausnutzen der Lücke mit den Kennung CVE-2016-8023 in Form einer Brute-Force-Attacke Authentifizierungs-Tokens erschleichen können. Das soll aber nur funktionieren, wenn sich ein Nutzer in einem bestimmten Zeitraum über das Web-Interface eingeloggt hat – der Token ist rund eine Stunde lang gültig.

Aufgrund der Lücke mit der Kennung CVE-2016-8022 können Angreifer abgezogene Tokens aus der Ferne missbrauchen. So ist es Fasano zufolge möglich, einen eigenen Update-Server mit einem Token aufzusetzen, dem VirusScan Enterprise vertraut, um so schließlich mittels einer Lücke im Web-Interface (CVE-2016-8021) Schadcode ins Spiel zu bringen.

Kombinieren Angreifer das bis dahin Erreichte mit der Lücke mit der Kennung CVE-2016-8020, können sie sich höhere Rechte erschleichen, erläutert der Sicherheitsforscher. Anschließend kommt vom vermeintlichen Update-Server eine manipulierte, aber dank Token legitime Anfrage, um den Schadcode auszuführen.

Es ist also einiges an Vorarbeit nötig, bis ein Angreifer in eine wirklich gefährliche Position kommt. Diese hat es dann aber in sich und er kann Schadcode mit Root-Rechten ausführen.

Setzt ein Angreifer an den weiteren LĂĽcken an, kann er unter anderem SQL- und XSS-Attacken ausfĂĽhren. (des)