Bitdedender企業版安全軟件發現缺陷
責編:admin |2014-07-30 15:15:16安全軟件公司比特梵德(Bitdefender) 的Gravity企業端點安全保護平臺最近爆出缺陷, 黑客可以通過后門進入企業內網。
安全咨詢公司SEC Consult漏洞實驗室的研究人員Stefan Wehbock說:“這一缺陷存在于最新版的Bitdefender的GravityZone中。 使得黑客可以通過網絡進入企業內網。 黑客能夠完全攻破這一軟件, 獲取系統和數據庫級的訪問權限。 此外, 通過這個缺陷, 黑客甚至可以接管所有的端點”
Gravity存在著三個漏洞。 其中一個是存在無須認證的通過Web界面進行本地文件訪問的功能。 這樣使得攻擊者只要具有nginx用戶權限, 就能夠讀取服務器上的任何文件, 包括明文密碼文件。 這個漏洞目前Bitdefender已經發布了補丁。
還有一個漏洞是對一個Web用戶可執行的腳本未經認證, 從而使得攻擊者可能獲取管理員權限。 這個漏洞也已經打上了補丁.
第三個缺陷是其后臺MongoDB的數據庫存在硬編碼用戶名和密碼。 這個用戶可以訪問數據和數據庫配置文件。 并且這一硬編碼用戶無法刪除或修改密碼。 這樣的硬編碼對IT公司不少見(參見本站的文章 史上12大著名安全后門植入案例), 不過作為安全公司的產品存在這樣的漏洞就說不過去了。
Bitdefender計劃在7月底之前對這個漏洞發布補丁, 在此之前, 建議用戶停用該系統。直到廠商發布補丁并且補丁經過充分測試后再加以使用。