安全企业McAfee在上周修补了两个位于McAfee Agent的高风险安全漏洞,其中的CVE-2021-31854为一命令注入漏洞,允许本地端用户注入任意的Shell程序代码,而CVE-2022-0166则为权限扩张漏洞,允许低特权的用户以系统权限执行任意程序。
McAfee Agent为McAfee ePolicy Orchestrator(McAfee ePO)的组件,McAfee ePO可集中并简化端点、网络、资料安全及法规遵循的管理,而McAfee Agent则是McAfee ePO的客户端组件。
根据McAfee的说明,CVE-2021-31854将让本地端用户可将任意的Shell程序代码注入cleanup.exe文件中,并借由McAfee Agent的部署功能来执行,进而造成权限扩张并取得最高权限。至于CVE-2022-0166则允许低特权的用户借由创建恶意的openssl.cnf文件,以系统权限执行任意程序。
由美国卡内基梅隆大学软件工程研究所负责运行的计算机紧急应变小组(CERT/CC),则特别针对CVE-2022-0166提出警告,指出该漏洞因为使用了OPENSSLDIR变量,可用来指定特定文件的位置,只要用户以恶意文件置换了原有的openssl.cnf,就能扩张权限并执行任意程序。
相关漏洞之所以重要,是因为包括McAfee Endpoint Security在内的许多McAfee产品都具备McAfee Agent功能,这两个漏洞都影响McAfee Agent 5.7.5以前的版本。