Il aura fallu six mois à McAfee pour émettre un correctif à dix vulnérabilités trouvées dans son client VirusScan Entreprise Linux. Ces vulnérabilités permettent l’exécution de code à distance avec les privilèges root. Andrew Fasano, un chercheur de sécurité au MIT Lincoln Laboratory a précisé que l’enchainement des vulnérabilités est susceptible de compromettre les clients de McAfee utilisant Linux en lançant des serveurs de mises à jour malicieux. « À première vue, VirusScan Entreprise pour Linux a toutes les caractéristiques que les chercheurs de vulnérabilités aiment : il s’exécute en root, il prétend rendre votre machine plus sure, il n’est pas particulièrement populaire et apparemment il n’a pas été mis à jour depuis longtemps », a écrit Fasano. « Quand j’ai vu tout ça, j’ai décidé de jeter un coup d’œil ».Les vulnérabilités sont présentes dans les versions allant d’au moins la version 1.9.2 de VirusScan Entreprise for Linux jusqu’à la version 2.0.2 publiée en avril dernier. « La seule différence avec l’ancienne version est la mise à jour de libc qui facilite davantage l’exploitation de ces vulnérabilités », a dit Fasano. Il y a dix vulnérabilités au total, dont quatre qui sont critiques.
Fasano a expliqué en détail le processus d’exploitation de ces failles. D’abord, l’attaque commence avec deux failles (CVE-2016-8022, CVE-2016-8023) qui permettent une intrusion non autorisée d’un jeton d’authentification et son utilisation pour se connecter avec des clients McAfee Linux. De là, les attaquants exploitent une autre faille (CVE-2016-8021) pour forcer des installations ciblées de McAfee à créer des scripts malicieux. Ces scripts seront ensuite exécutés en recourant à la même vulnérabilité en plus d’un bogue d’escalade de privilège (CVE-2016-8020, CVE-2016-8021). Avec toutes ces failles combinées, le script malicieux des attaquants est exécuté avec l’accès root dans les machines des victimes.
En plus, le chercheur a trouvé d’autres bogues, dont un qui permet une injection SQL authentifiée CVE-2016-8025, un bogue de séparation de réponse HTTP (CVE-2016-8024). Il a relevé également l’existence de CVE-2016-8022 et CVE-2016-8023, deux bogues liés aux attaques brute-force contre les jetons d’authentification. En plus d’un problème de cross-site scripting (CVE-2016-8019) et d’un problème de forgery tokens (CVE-2016-801).
Fasano avait reporté l’existence de ces bogues le 23 juin dernier à la US computer emergency response team clearing house qui à son tour a relayé les vulnérabilités à McAfee. Il a précisé que la firme de sécurité a demandé une période de non-divulgation de six mois, une durée plus longue que la politique des 90 jours standards suivie par des firmes comme Google. Après des négociations entre McAfee et Fasano, la firme a demandé que cette période soit allongée jusqu’à la fin de l’année. Après trois mois de silence radio, McAfee a enfin révélé en public l’existence des failles le 12 décembre. Bien avant cette date, la firme a publié également un bulletin de sécurité et a assigné les ID CVE le 9 décembre.
Source : billet de blog (Fasano)
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Forum Sécurité 
