Symantec Scan Engine дает хакерам возможность взламывать серверы

Эксперты в области информационной безопасности выявили три бреши в программном продукте Symantec Scan Engine, используемом для антивирусной защиты сетевого трафика, сообщает сайт Networldwork.com. Бреши позволяют хакерам получить контроль над сервером, который находится под защитой Scan Engine. Наиболее серьезная брешь связана с механизмом аутентификации Scan Engine, отмечают специалисты бостонской компании Rapid7, обнаружившие все три уязвимости.

Rapid7 сообщила Symantec о проблемах со Scan Engine в январе текущего года. Symantec ликвидировала бреши, выпустив недавно Scan Engine 5.1. «Symantec настоятельно рекомендует всех клиентам немедленно провести обновления своих версий продуктов, чтобы защититься от подобных угроз», — говорится в заявлении компании.

Scan Engine — серверное приложение, которое позволяет разработчикам внедрять технологию Symantec в свои собственные продукты. Бреши, выявленные Rapid7, не имеют никакого отношения к программам для рабочих станций.

Уязвимость в механизме аутентификации Scan Engine позволяет получить контроль над сервером любому, кто понимает, как работает коммуникационный протокол этого программного продукта.

Для определения пользователя Scan Engine использует Java-апплет на клиентской стороне. При этом сам сервер, работающий под защитой Scan Engine, никогда не проверяет результаты аутентификации пользователя. Это означает, что хакеры могут получить контроль над сервером, отправляя собственные XML-запросы через серверный протокол.

«Это совершенная схема фальшивой аутентификации. Эта уязвимость существовала в приложении с самого первого дня. Мы первые люди, которые заглянули в протокол», — рассказал представитель Rapid7.

По мнению старшего аналитика компании Cybertrust Русса Купера (Russ Cooper), подобная ошибка в коммерческом программном обеспечении — очень необычное явление. «Они определенно сделали неправильный выбор, позволив идентифицировать пользователя апплету, а не серверу. Я не могу представить систему, где вы сообщаете свои данные клиентской программе, а она пересылает их серверу», — заявил Купер и добавил, что в большинстве случаев защититься от взлома системы через брешь в Scan Engine можно с помощью межсетевого экрана.