
Les vulnérabilités sont présentes dans les versions allant d’au moins la version 1.9.2 de VirusScan Entreprise for Linux jusqu’à la version 2.0.2 publiée en avril dernier. « La seule différence avec l’ancienne version est la mise à jour de libc qui facilite davantage l’exploitation de ces vulnérabilités », a dit Fasano. Il y a dix vulnérabilités au total, dont quatre qui sont critiques.
Fasano a expliqué en détail le processus d’exploitation de ces failles. D’abord, l’attaque commence avec deux failles (CVE-2016-8022, CVE-2016-8023) qui permettent une intrusion non autorisée d’un jeton d’authentification et son utilisation pour se connecter avec des clients McAfee Linux. De là, les attaquants exploitent une autre faille (CVE-2016-8021) pour forcer des installations ciblées de McAfee à créer des scripts malicieux. Ces scripts seront ensuite exécutés en recourant à la même vulnérabilité en plus d’un bogue d’escalade de privilège (CVE-2016-8020, CVE-2016-8021). Avec toutes ces failles combinées, le script malicieux des attaquants est exécuté avec l’accès root dans les machines des victimes.
En plus, le chercheur a trouvé d’autres bogues, dont un qui permet une injection SQL authentifiée CVE-2016-8025, un bogue de séparation de réponse HTTP (CVE-2016-8024). Il a relevé également l’existence de CVE-2016-8022 et CVE-2016-8023, deux bogues liés aux attaques brute-force contre les jetons d’authentification. En plus d’un problème de cross-site scripting (CVE-2016-8019) et d’un problème de forgery tokens (CVE-2016-801).
Fasano avait reporté l’existence de ces bogues le 23 juin dernier à la US computer emergency response team clearing house qui à son tour a relayé les vulnérabilités à McAfee. Il a précisé que la firme de sécurité a demandé une période de non-divulgation de six mois, une durée plus longue que la politique des 90 jours standards suivie par des firmes comme Google. Après des négociations entre McAfee et Fasano, la firme a demandé que cette période soit allongée jusqu’à la fin de l’année. Après trois mois de silence radio, McAfee a enfin révélé en public l’existence des failles le 12 décembre. Bien avant cette date, la firme a publié également un bulletin de sécurité et a assigné les ID CVE le 9 décembre.
Source : billet de blog (Fasano)
Et vous ?

Voir aussi :
