این ماه توسط آزمایشگاه امنیتی کسپرسکی بهروزرسانیهایی برای محصول ضدبدافزاری این شرکت برای کارگزارهای پروندهی لینوکس منتشر شده است. این بهروزرسانیها چندین آسیبپذیری را در این محصول وصله کرده است.
محصول ضدبدافزاری کسپرسکی برای محافظت از کارگزارهای لینوکسی در شرکتهای بزرگ مورد استفاده قرار میگیرد. محققان امنیتی متوجه شدند واسطهای مدیریتی مبتنی بر وب در این محصول دارای چندین آسیبپذیری هستند. مهاجمان میتوانند از این آسیبپذیریها برای اجرای کد دلخواه و هرگونه فعالیت مخرب دیگر بهرهبرداری کنند.
یکی از اشکالات مربوط به این است که در این واسطهای مدیریتی، رمزواره و توکنهایی برای جلوگیری از حملات CSRF تولید نمیشود و مهاجمان میتوانند یک کاربر را که احراز هویت شده، ترغیب کنند تا از یک صفحهی وب جعلی بازدید کند. در ادامه مهاجم خواهد توانست دستورات شِل را بر روی سامانهی آسیبپذیر اجرا کند.
محققان همچنین آسیبپذیریهایی را برای ارتقاء امتیازات تا سطح ریشه، اجرای کد دلخواه با بهرهبرداری از آسیبپذیری XSS انعکاسی و خواندن پروندههای دلخواه به دلیل آسیبپذیری پیمایش مسیر کشف کردند. محققان همچنین برای هر یک از این آسیبپذیریها کد اثبات مفهومی را منتشر کردند.
این آسیبپذیریها نسخهی ۸ از محصول ضدبدافزاری کسپرسکی را تحت تأثیر قرار داده است. شناسههای این آسیبپذیریها عبارتند از: CVE-۲۰۱۷-۹۸۱۳، CVE-۲۰۱۷-۹۸۱۰، CVE-۲۰۱۷-۹۸۱۱ و CVE-۲۰۱۷-۹۸۱۲. این آسیبپذیریها در ماه آوریل به کسپرسکی گزارش شده و در تاریخ ۱۴ ژوئن وصله شده است. محققان اعلام کردند در بهروزرسانی این محصول تمامی آسیبپذیریها برطرف شدهاند.
شرکت کسپرسکی نیز با کمک بستر HackerOne، برنامهی پاداش در ازای اشکال راهاندازی کرده است که محصولات مدیریت گذرواژه نسخهی ۸، امنیت اینترنت ۲۰۱۷ و امنیت نقطهی انتهایی ۱۰ را پوشش داده است. این شرکت برای گزارش آسیبپذیریها، پاداشی معادل با ۳۰۰ دلار تا ۵ هزار دلار در نظر گرفته است.