Saugumo pažeidžiamumas – “AVG Remote Administration”
Aukšto kritiškumo pažeidžiamumai leidžia vykdyti kenksmingą kodą kliento bei serverio dalyse
“AVG Remote Administration” leidžia tinklo administratoriui nutolusiu būdu diegti, atnaujinti bei konfigūruoti AVG antivirusinę sistemą organizacijos tinklo ribose.
Programinė įrangoje, tiekiamoje AVG (NYSE:AVG) gamintojo, egzistuoja keli kritiniai pažeidžiamumai [1]. Šie pažeidžiamumai aptikti rutininio saugumo patikrinimo metu, SEC Consult Pažeidžiamumų Laboratorijos ekspertų (https://www.sec-consult.com).
Identifikuoti pažeidžiamumai leidžia nusikaltėliams ar priešiškų valstybių finansuojamiems įsilaužėliams apeiti autentifikaciją. Pasinaudodami šiomis spragomis, įsilaužėliai gali pasinaudoti administratoriaus prieiga ir gauti priėjimą prie klientų sistemų valdymo. Be to, pažeidžiamumai leidžia išnaudoti nutolusio kodo vykdymo pažeidžiamumą bei gauti prieigą prie AVG Remote Administration serverio aukščiausiomis operacinės sistemos teisėmis. Pažeidžiamumai susiję su šifravimo bei autentifikacijos trūkumais komunikacijos protokole papildo programinės įrangos produkto, tiekiamo su saugumo defektais, paveikslą.
SEC Consult Pažeidžiamumų laboratorijos ekspertams pavyko sėkmingai išnaudoti pažeidžiamumą rutininio saugumo patikrinimo metu. Taip pat buvo sukurtas ir demonstracinis pažeidžiamumo išnaudojimo kodas.
SEC Consult nedelsiant susisiekė su AVG saugumo programinės įrangos (tame tarpe ir antivirusinės PĮ) gamintoju, tačiau klientų pagalbos tarnyba nesugebėjo tinkamai sureaguoti, todėl buvo kreiptąsi į AVG kompanijos Technikos direktorių (Chief Technology officer). Jis pripažino pažeidžiamumų egzistavimą, tačiau pranešė, jog bus ištaisytas tik vienas iš keturių aptiktų pažeidžiamumų (nutolęs kodo vykdymas). Kiti aptikti pažeidžiamumai AVG kompanijos buvo klasifikuoti kaip “žemos” ar “vidutinės” rizikos. SEC Consult manymu, tai nėra teisinga, todėl reiktų nedelsiant pašalinti visus aptiktus defektus.
SEC Consult ekspertai rekomenduoja nedelsiant įdiegti atnaujinimą, išleistą gamintojo [2], tačiau pažymi, jog likę trys pažeidžiamumai nebus gamintojo ištaisyti! Todėl SEC Consult aprašė laikiną sprendimo kelią[1], leidžiantį apsisaugoti nuo aptiktų pažeidžiamumų AVG produkte. Šių priemonių esmė yra pilnas nutolusio administravimo serverio bei kliento komponento atjungimas. Remiantis AVG, produktas “nebepalaikomas kurį laiką”, tačiau AVG produkto puslapyje apie tai nekalbama[3] ir AVG Dažnai Užduodamų Klausimų puslapis teigia kitaip [4].
SEC Consult rekomenduoja AVG produktų klientams iš gamintojo reikalauti išsamių saugumo testų, atliekamų (Europos) saugumo ekspertų, tam, kad gamintojas pašalintų visus aptiktus trūkumus.
[1] SEC Consult Advisory https://www.sec-consult.com/en/Vulnerability-Lab/Advisories.htm
SEC Consult proof of concept videos https://www.youtube.com/watch?v=exiLSy1oo3I & https://www.youtube.com/watch?v=XYvtwc10dLc
[2] Patch AVG Remote Administration, Version 2013.2895 – http://www.avg.com/eu-en/download.prd-rad
[3] AVG Remote Administration product page http://www.avg.com/eu-en/product-avg-admin
[4] AVG FAQ entry http://www.avg.com/us-en/faq.num-5125
