Suchen

Kritische Schwachstellen sechs Monate ungepatcht McAfee VirusScan Enterprise für Linux erlaubt Root-Zugriff

Autor / Redakteur: Moritz Jäger / Peter Schmitz

Ausgerechnet der Virus-Scanner für Linux-Umgebungen von McAfee enthielt mehrere katastrophale Schwachstellen, über die sich Code von außen mit Root-Rechten ausführen lies. Das Update ließ sechs Monate auf sich warten.

Firma zum Thema

Monatelang war eine kritische Sicherheitslücke im McAfee Virenscanner für Linux ungepatcht.
Monatelang war eine kritische Sicherheitslücke im McAfee Virenscanner für Linux ungepatcht.
(Bild: Pixabay / CC0 )

Wer den McAfee VirusScan Enterprise for Linux nutzt, sollte schnellstmöglich aktualisieren oder vielleicht sogar den Wechsel auf eine andere Lösung in Betracht ziehen. Der Sicherheitsforscher Andrew Fasano konnte eine ganze Reihe von Schwachstellen kombinieren, mit denen sich Code mit Root-Rechten ausführen lässt. Das klappte von extern – für Sicherheitslösungen ist dies so ziemlich der Super GAU.

Die Attacke nutzt eine Kette von drei bis fünf Schwachstellen, um eigenen Code mit Root-Rechten auszuführen. Zunächst lassen sich zwei Lücken verwenden um ein Authentifizierungs-Token zu den Linux-Clients per Brute-Force-Technik zu erraten. Sobald der Angreifer diese hat, kann er eine andere Schwachstelle nutzen, um über die installierten McAfee-Produkte bösartige Skripte zu erstellen. Anschließend lässt sich die gleiche Schwachstelle mit einem weiteren Bug ausnutzen, um die Skripte aus der Ferne auszuführen.

Damit nicht genug, bei seiner Suche fand Fasano gleich noch einen ganzen Strauß an weiteren Schwachstellen, diese ermöglichen etwa Cross-Site-Scripting, SQL Injection oder Cross-Site Request Forgery. Von den Schwachstellen sind die Versionen 1.9.2 bis 2.0.2 betroffen.

Sechs Monate bis zum Update

Noch problematischer ist die Antwort von McAfee bzw. dem Mutterkonzern Intel: Der Entdecker meldete die Schwachstelle bereits Ende Juni, bis zum 12. Dezember gab es kein Update, inzwischen scheinen die Bugs aber aus dem Programm entfernt worden zu sein.

Insgesamt bat McAfee den Forscher um eine sechsmonatige Stillhaltungsvereinbarung, danach geschah erst einmal nichts. Erst nachdem Fasano den Konzern über eine Veröffentlichung Mitte Dezember informiert, nahm die Entwicklung der Patches Fahrt auf, inzwischen ist er veröffentlicht. Für ein Produkt, dass Unternehmen und sensible Informationen schützen soll, ist dies eigentlich nicht tragbar.

Wir baten McAfee bzw. Intel um eine Stellungnahme zu dem Thema, sobald diese eintrifft, werden wir den Beitrag aktualisieren.

(ID:44430814)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist