Компания Trend Micro на этой неделе разослала клиентам обновление InterScan Web Security Virtual Appliance (IWSVA), которое патчит несколько серьёзных уязвимостей. Потенциальный злоумышленник может использовать часть этих уязвимостей, чтобы удалённо получить контроль над атакуемым устройством.
Проблемы безопасности выявил Вольфганг Эттлингер, австрийский эксперт в области кибербезопасности из компании SEC Consult. Примечательно, что Эттлингер сообщил об уязвимостях Trend Micro ещё летом 2019 года.
Лишь в конце ноября 2020 года разработчики смогли устранить описанные исследователем бреши — с релизом версии IWSVA 6.5 SP2 CP b1919. Несмотря на затянувшийся процесс патчинга, Эттлингер отметил, что Trend Micro подошла к решению проблемы достаточно профессионально.
«В сравнении с другим крупными компаниями, с которыми нам приходилось иметь дело ранее, Trend Micro решила вопрос грамотно», — объяснил специалист.
Напомним, что Trend Micro IWSVA представляет собой веб-шлюз, помогающий организациям защищать системы от современных киберугроз. Одновременно IWSVA может контролировать использование интернета сотрудниками в режиме реального времени.
В общей сложности Эттлингер обнаружил шесть уязвимостей IWSVA, среди которых нашлись: возможность обхода защиты от CSRF, XSS, обход аутентификации и авторизации, возможность внедрить и выполнить команды. Большинство брешей получили высокую степень опасности.
Исследователь также определил три сценария атаки, которые предусматривают эксплуатацию этих дыр. В одном из таких сценариев атакующий сможет удалённо получить root-доступ к атакуемому устройству.
Компания SEC Consult посвятила этим проблемам безопасности отдельный пост, в котором также можно найти технические детали выявленных уязвимостей. Публиковать код эксплойта SEC Consult при этом отказалась.
Тем не менее мы можем ознакомиться с видеороликом, в котором демонстрируется эксплуатация уязвимостей и соответствующая атака:
