McAfee випускає бюлетень безпеки, виправляє помилки, які можуть призвести до надання привілеїв на системному рівні

Коротко: McAfee Agent, компонент корпоративного ePolicy Orchestrator (ePO), розгортається на клієнтських машинах для звітування про дані, статус і застосування політик. Раніше цього тижня компанія випустила бюлетень з безпеки, в якому висвітлювалися два CVE, що стосуються попередніх версій агента ePO, розгорнутого для підтримки зусиль ePO. Компанія випустила оновлену версію агента, яка ефективно усуває вразливості, обидві з яких отримали високі оцінки серйозності.

У бюлетені були визначені CVE-2021-31854 і CVE-2022-0166, два високосерйозні вектори атак, які можуть зробити будь-який актив із розгорнутими агентами McAfee ePO вразливими для атак. Відповідно до вказівок McAfee, будь-які реалізації з розгорнутими агентами раніше версії 5.7.5 повинні оновлювати агент або ризикувати подальшим розкриттям.

Звіт безпеки містить детальне пояснення кожного CVE та перехресні посилання на експлойти у звітах MITER та Національного інституту стандартів і технологій (NIST) CVE.

• CVE-2021-31854 — уразливість ін'єкції команд у McAfee Agent (MA) для Windows до версії 5.7.5 дозволяє локальним користувачам вводити довільний код оболонки у файл cleanup.exe. Шкідливий файл clean.exe поміщається у відповідну папку та виконується за допомогою функції розгортання McAfee Agent, розташованої в системному дереві. Зловмисник може використати вразливість для отримання зворотної оболонки, що може призвести до ескалації привілеїв для отримання привілеїв root.
• CVE-2022-0166 — уразливість ескалації привілеїв у McAfee Agent до версії 5.7.5. McAfee Agent використовує openssl.cnf під час процесу збирання, щоб вказати змінну OPENSSLDIR як підкаталог у каталозі встановлення. Користувач із низькими привілеями міг створювати підкаталоги та виконувати довільний код з привілеями SYSTEM, створюючи відповідний шлях до спеціально створеного шкідливого файлу openssl.cnf.

McAfee зробила Агент версії 5.7.5 доступним для користувачів і адміністраторів, яким доручено усунути вразливості. Бюлетень надає користувачам кінцевої точки McAfee та продуктів ePO/сервера конкретні кроки, щоб визначити, чи є їхня реалізація ePO та агента вразливою. Після розгортання будь-яка клієнтська машина з встановленим агентом більше не буде вразливою до ідентифікованих експлойтів.

McAfee ePO — це адміністративний інструмент, який використовується для централізації керування будь-якими кінцевими точками (ПК, принтери, інші периферійні пристрої) у мережі користувача. Він надає адміністраторам можливість централізовано відстежувати й контролювати різні системні дані, події та політики на всіх відповідних кінцевих точках у своєму середовищі.

Автор зображення: Pixelcreatures