Niebezpieczna luka w znanym programie antywirusowym

Przeznaczony dla klientów firmowych pakiet programów z zakresu bezpieczeństwa firmy Avira wykazuje lukę, przez którą atakujący mogą zakłócać pracę skanerów antywirusowych działających na komputerach klienckich.

Problem
Istotą problemu jest brak uwierzytelniania w komponencie Internet Update Manager (IUM), za pośrednictwem którego klienty pobierają zarówno aktualizacje sygnatur, jak i samego produktu. Dostęp do serwera i zdalnej konfiguracji umożliwia niezabezpieczony interfejs graficzny. Napastnik znajdujący się w wewnętrznej sieci mógłby dzięki temu np. usuwać pakiety aktualizacyjne, a także wyłączać mechanizm dystrybucji lub wydłużać cykl jego pracy.

W przypadku domyślnych ustawień serwera wystarczy uruchomić interfejs IUM na dowolnym komputerze i połączyć się z serwerem bez podawania danych dostępowych. IUM oferuje wprawdzie opcjonalnie uwierzytelnianie za pośrednictwem klienckiego certyfikatu SSL, jednak testy przeprowadzone przez redakcję heise Security wykazały, że dostęp do serwera bez uwierzytelniania jest możliwy nawet z włączoną opcją certyfikatu. Dzieje się tak dlatego, że IUM sam udostępnia ważny certyfikat SSL, który nie jest dodatkowo chroniony hasłem.

Rozwiązanie
Avira potwierdziła opisywany problem i chce rozwiązać go w kolejnej wersji produktu, która ukaże się w pierwszym kwartale 201. roku. Oprócz poprawki nowe wydanie ma też umożliwiać łatwiejszą zamianę dostarczonego certyfikatu na własny. Ponadtu serwery (SMC, IUM) mają domagać się haseł w celu uwierzytelnienia klienta.

Do momentu opublikowania nowej wersji Avira zaleca odpowiednie zabezpieczenie dostępu do usługi IUM, która standardowo nasłuchuje na portach TCP o numerach 7050 i 7051. Firewall powinien umożliwiać dostęp tylko dla komputera lokalnego (127.0.0.1), wewnętrznego IP serwera, a także zaufanych komputerów administratorów, na których powinien działać interfejs graficzny IUM.

wydanie internetowe www.heise-online.pl