В антивирусе McAfee для Linux выявлена удалённая root-уязвимость

Александр Панасенко 13 Декабря 2016 - 19:46

...

В проприетарном антивирусном пакете McAfee VirusScan Enterprise для платформы Linux выявлено 10 уязвмостей, сочетание которых даёт возможность организовать удалённую атаку, которая позволяет неаутентифицированному стороннему злоумышленнику выполнить свой код на сервере с правами пользователя root.

Производителю было сообщено о проблеме ещё в июне, но обновление с устранением уязвимости было выпущено только вчера. Так как исправление уже доступно, обнаружившие уязвимости исследователи безопасности опубликовали рабочий прототип эксплоита, пишет opennet.ru.

По отдельности каждая из 10 уязвимостей не является критичной, но их сочетание позволяет выстроить цепочку для совершения атаки по получению полного контроля за системой. Исследователи также обратили внимание на непростительное для профессионального ПО для обеспечения безопасности отношение к собственной защите - процесс выполняется с правами root без сброса привилегий. Второй процесс, обеспечивающий работу web-интерфейса запускается под отдельным пользователем, но все запросы всё равно передаются для обработки процессу, работающему под root.

Найденные уязвимости:

CVE-2016-8016: Удалённая возможность проверки наличия файла, не требующая аутентификации;
CVE-2016-8017: Удалённая возможность чтения определённого класса файлов без аутентификации;
CVE-2016-8018: Отсутствие токенов для защиты от CSRF-атак;
CVE-2016-8019: Возможность осуществления межсайтового скриптинга;
CVE-2016-8020: Удалённое выполнение кода и повышение привилегий при наличии аутентифицированного доступа к web-интерфейсу;
CVE-2016-8021: Возможность записи файлов в известные пути через манипуляции с web-интерфейсом;
CVE-2016-8022: Повторное использование токенов аутентификации;
CVE-2016-8023: Возможность подбора токенов аутентификации;
CVE-2016-8024: Разбиение HTTP-запросов;
CVE-2016-8025: Подстановка SQL-кода при наличии аутентифицированного входа.

Метод работы эксплоита сводится к следующим шагам:

Подбор токенов аутентификации при помощи уязвимостей 7 и 8;
Создание подставного сервера доставки обновлений;
Использование седьмой уязвимости для отправки запроса с использованием подобранного токена аутентификации для совершения операции обновления сервера;
Сохранение в системе вредоносного скрипта при помощи уязвимости 6;
Отправка специально оформленного запроса с использованием подобранного токена аутентификации. Через эксплуатацию 5 и 6 уязвимостей инициируется запуск процесса сканирования на наличие вирусов, который приведёт к выполнению подготовленного ранее скрипта с правами root.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 07:20

Соответствие законодательству РФ Корпорации Государство Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Совещание в Минцифры уже аукается рынку: часть ИТ-проектов приостановлена

После совещания в Минцифры часть ИТ-компаний начала ставить некоторые проекты на паузу. одна из причин — неопределённость вокруг будущих ограничений на использование VPN и списка сервисов, которые могут попасть под запрет.

Как сообщает телеграм-канал «Время госзакупок» со ссылкой на источник в отрасли, проблема затрагивает не только частный рынок, но и довольно чувствительные для государства процессы.

Речь, в частности, идёт о проектах, связанных с переходом на отечественное ПО и модернизацией критической информационной инфраструктуры. Ситуация осложняется тем, что даже крупные ИТ-компании нередко привлекают senior-специалистов, находящихся за рубежом. Если доступ к привычным инструментам удалённой работы начнёт сбоить, это может заметно замедлить такие проекты.

Под ударом оказываются и госзаказы. В эти цепочки вовлечено много небольших ИТ-компаний и субподрядчиков, и часть из них уже предупредила заказчиков, что временно приостанавливает работы, пока не станет понятнее, как именно будут действовать ограничения и какие VPN-сервисы окажутся вне закона.

Интересно, что сама идея блокировать VPN на крупных интернет-площадках выглядит куда сложнее, чем может показаться на бумаге, отмечают специалисты. Главная проблема — как отличить пользователя, который действительно заходит через средство обхода блокировок, от человека, который просто подключается из другой страны или использует корпоративный VPN.

Один из самых простых вариантов, о которых говорят специалисты, — вообще не пускать пользователей, заходящих из-за рубежа. Но это, мягко говоря, слишком грубое решение. Более реалистичный сценарий — использование скоринговых моделей, которые будут оценивать множество параметров: IP-адрес, язык устройства, настройки региона, поведение пользователя и другие косвенные признаки.

Звучит технологично, но на практике всё не так красиво: для такой схемы нужно собирать и анализировать большой объём данных, а это требует серьёзных вычислительных мощностей, дополнительных команд разработки и постоянной поддержки. К тому же риск ложных срабатываний здесь очень высокий. Проще говоря, под раздачу могут попасть и вполне легальные пользователи.

Напомним, Минцифры попросило крупнейшие российские цифровые платформы — от «Яндекса» и VK до маркетплейсов, онлайн-кинотеатров и сервисов объявлений — подключиться к ограничению VPN с середины апреля. Если компании не согласятся, они, по данным издания, рискуют лишиться аккредитации Минцифры.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!