В антивирусе Trend Micro обнаружен очередной бэкдор

image

Теги: уязвимость, антивирус, Trend Micro, произвольный код

Удаленная служба отладки Node.js запускается по умолчанию и слушает разные порты на интерефейсе localhost.

Исследователь команды Google Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил очередной бэкдор в продуктах компании Trend Micro. Речь идет о следующих решениях: Trend Micro Antivirus, Maximum Security, Premium Security и Password Manager. Суть уязвимости заключается в следующем: удаленная служба отладки Node.js запускается по умолчанию и слушает на интерефейсе localhost.

Ошибка позволяет удаленному пользователю с помощью специально сформированной web-страницы обратиться к отладочной службе и выполнить произвольные команды на системе с привилегиями учетной записи SYSTEM. Поскольку прослушиваемые порты могут меняться, атакующему потребуется осуществить брутфорс-атаку и подобрать правильный номер порта.

Тэвис Орманди опубликовал PoC-код, запускающий калькулятор при посещении специально сформированного сайта:

http://localhost:50820/json/new/?javascript:require('child_process').spawnSync('calc.exe')"

19 марта нынешнего года Орманди сообщил о проблеме команде Trend Micro, и 30 марта компания выпустила временный патч. Финальная версия патча будет доступна через несколько недель. В настоящее время нет свидетельств активной эксплуатации уязвимости.

В январе нынешнего года Орманди обнаружил похожую проблему в антивирусе Trend Micro. Тогда речь шла о компоненте Password Manager в Trend Micro Antivirus для Windows. Как оказалось, менеджер паролей открывал несколько HTTP RPC-портов, позволяющих выполнить произвольные команды. В настоящее время ошибка уже устранена.


Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.