YGN Ethical Hacker Group: witryna firmy McAfee podatna na ataki

Luki w zabezpieczeniach stron McAfee.com mogą być wykorzystane do przeprowadzania różnego rodzaju ataków, takich jak na przykład "cross-site scripting".

O dziurach wykrytych przez YGN Ethical Hacker Group firma McAfee została poinformowana już 10 lutego br. Oprócz błędów kodu umożliwiających przeprowadzania ataków typu "cross-site scripting", na witrynie zidentyfikowano również inne luki zabezpieczeń, pozwalające np. poznać wewnętrzną nazwę hosta czy ujawnić 18 kodów żródłowych. W części witryny, która może być użyta do przeprowadzania ataków typu "XC scripting", McAfee przechowuje pliki umożliwiające pobieranie oprogramowania.

W opinii YGN Ethical Hacker Group, sytuacja taka dyskredytuje McAfee, producenta popularnej usługi bezpieczeństwa McAfee Secure. Daje ona internaucie gwarancję, że na przeglądanej przez niego witrynie nie ma żadnych dziur i niebezpiecznych miejsc, gdyż jej właściciel wykupił usługę McAfee Secure. Witryna zaopatrzona w etykietę "McAfee Secure" jest skanowana non-stop.

Zobacz również:

  • Bezpieczeństwo w każdym środowisku

W związku z ujawnionymi problemami, nasuwa się pytanie, czy użytkownicy mogą być pewni, że przeglądane przez nich witryny z logo McAfee Secure są rzeczywiście bezpieczne, skoro podobne luki znajdują się na witrynie producenta narzędzi, które mają je wykrywać i eliminować?

Jak podaje YGN, firma McAfee została poinformowana o wykryciu dziur 10 lutego i odpowiedziała 12 lutego: "pracujemy cały czas nad tym problemem i postaramy się go rozwiązać tak szybko, jak jest to tylko możliwe". Obecnie mamy już koniec marca i na witrynie McAfee dziury są nadal, konkluduje YGN.

Witryna firmy McAfee miała podobne kłopoty wcześniej, np. w 2008 r. wykryto na niej (a także na stronach firm Symantec i VeriSign) dziury pozwalające również przeprowadzać ataki typu XSS (cross-site scripting). Rok później różnego rodzaju nieszczelności pojawiły się natomiast na stronach kc.mcafee.com i mcafeerebates.com.

Wypowiedź firmy Mcafee dla redakcji NetworkWorld:
  • Jesteśmy świadomi tych luk bezpieczeństwa i pracujemy nad tym by je usunąć. Podkreślamy, że nie stanowią one bezpośredniego zagrożenia dla naszych klientów, partnerów czy dla bezpieczeństwa informacji korporacyjnych. Co więcej nie zaobserwowaliśmy żadnych prób wykorzystania tych luk w zabezpieczeniach.
  • Firma McAfee ma precyzyjną politykę odnośnie własnego serwisu internetowego oraz usług świadczonych przez zewnętrznych dostawców. Badamy dlaczego te szczególne zagrożenia nie zostały zidentyfikowane przez nasze systemy monitorowania i jeśli okaże się to konieczne dostroimy nasze procesy.

Rzecznik prasowy firmy McAfee sprecyzował też potencjalne konsekwensje wykorzystania ujawnionych luk w zabezpieczeniach:

  • Cross Site Scripting na download.mcafee.com: W najgorszym przypadku luka ta może pozwolić cyberprzestępcom podszywającym się pod McAfee na prezentowanie adresów URL tak by wyglądały na prowadzące na strony McAfee a w rzeczywistości prowadziły na inne serwery.
  • Ujawnienie plików źródłowych na www.mcafee.com: Informacje dostarczają pewnych szczegółów odnośnie wewnętrznych aplikacji służących do pomiaru ruchu www, ale nie ujawniają żadnych informacji zastrzeżonych ani informacji o klientach.
  • Ujawnienie plików źródłowych na download.mcafee.com: Luka ta umożliwia dostęp do kodu źródłowego pewnych interaktywnych stron naszej witryny, ale również nie ujawnia żadnych wrażliwych informacji ani tez informacji związanych z kientami.
Aktualizacja: 30 marca 2011 00:04

uzupełniono o wypowiedzi firmy McAfee

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200