McAfees Intrusion Prevention System IntruShield weist laut einer Mail auf mehreren Sicherheits-Mailinglisten einige Lücken auf, über die ein Angreifer seine Berechtigungen erhöhen und Alarmmeldungen unterbinden kann. Weiterhin sei es möglich, schädliches HTML und JavaScript einzuschleusen, um beispielsweise Accountdaten auszuspähen. McAfee bestätigte heise Security das Vorhandensein der Lücken, hält die Einschätzung des Entdeckers jedoch für übertrieben.
Um Zugriff auf die Managementkonsole zu erlangen, könne laut Verfasser des Security-Advisory ein Angreifer einfach mehrere Nutzer-IDs durchprobieren, bis er Zugriff erhält, da die IDs im Klartext in der Gestalt
https://intrushield:443/intruvert/jsp/menu/disp.jsp?userId=1&logo=intruvert
.gif
übertragen werden. Ist der Management-Zugang nicht durch eine Firewall gesichert, sei damit auch Zugriff von außen möglich. Da man allerdings einen gültigen Account im System braucht, und die priviligierten Accounts zusätzlich durch weitere Maßnahmen wie Passwörter gesichert sind, ist dies keine Sicherheitslücke -- die UserID des root-Accounts in einem Unix-System zu "erraten" macht dieses auch nicht unsicher.
Da beim Browsen durch die Reports des Systems umfangreiche Daten über URLs übergeben werden, lässt sich über ein IFrame fremder HTML-Code in die Anzeige einschleusen -- in ähnlicher Form kann man dem ahnungslosen Anwender Javascript unterschieben, welches mit den Rechten des Anwenders ausgeführt wird. Ein Angreifer kann so unter Umständen gültige Accountdaten von anderen Nutzern abfangen. Diese Angriffsform setzt allerdings ebenfalls einen gültigen Zugang zu dem IPS voraus, ergänzt Toralv Dirro von McAfee. Sie sei eine Phishing-Variante, der mit den üblichen Sicherheitsmaßnahmen zu begegnen ist: man sollte sich nicht über Links von Webseiten oder E-Mails heraus an einem sicherheitsrelevanten System anmelden, sondern Bookmarks nutzen oder die Adressen manuell in den Browser eintragen.
Als angemeldeter Benutzer mit nur lesendem Zugriff auf Reports kann man Vollzugriff erlangen, indem man in der aufgerufenen URL die mitgelieferte Variable "fullAccessRight=false" auf "fullAccessRight=true" ändert. Ebenso einfach lassen sich ausgelöste Alarme bestätigen und verwerfen, auch dort muss nur die Variable "fullAccess" auf true gesetzt werden.
Grundsätzlich muss also zum Ausnutzen dieser Lücken ein Angreifer ein erhöhtes Maß an krimineller Energie mitbringen, denn offiziellen Zugang zu einem Intrusion Prevention System erhalten üblicherweise nur Administratoren -- diesen sollte man schon vertrauen können.
McAfee stellt Produktaktualisierungen in Form der Maintenance Release 2.1.9.17 bereit, die betroffene Administratoren einspielen sollten.
QUELLE
