ePO, ePolicy Orchestrator, è lo strumento enterprise di McAfee per il governo della sicurezza in una infrastruttura IT: è un punto focale per l’amministrazione della sicurezza per host ed endpoint, capace si integrare analisi e reazione alle minacce. Proprio nel comparto della protezione dell’endpoint, ePO dialoga con l’agente di McAfee Endpoint Security, ossia McAfee Agent. 

Quindi, se vogliamo, è questo lo strumento che agisce per la sicurezza: ma cosa accade se proprio questa componente ha un difetto tale da consentire un attacco proprio attraverso di essa? 

Di difetti, ossia vulnerabilità, McAfee Agent ne ha esattamente due, così come sono state censite sul database NIST NVD con identificativo CVE-2021-31854, CVE-2022-0166: il NIST non ha ancora eseguito una analisi sulle vulnerabilità, quindi stiamo alle dichiarazioni del vendor che classifica entrambe con uno score alto (7.7 per la CVE-2021-31854 e 7.8 per la CVE-2022-0166). 

Una prima vulnerabilità (CVE-2021-31854) nasce dalla possibilità di iniettare codice nel programma cleanup.exe che fa parte del processo di installazione/disinstallazione/aggiornamento dell’agent: un attaccante tramite questo può raggiungere l’ottenimento di una reverse shell con privilegi amministrativi. 

L’altra vulnerabilità invece (CVE-2022-0166) nasce dall’uso di un percorso secondario (espresso dalla variabile OPENSSLDIR) e controllabile da un utente non privilegiato (nei sistemi Windows) quale luogo di accesso al file di configurazione openssl.cnf della componente OpenSSL (crittografia, certificati, ecc) utilizzata dai prodotti di McAfee Endpoint Security. Questo darebbe la possibilità ad un agente di minaccia di collocare in quel percorso un file di configurazione per OpenSSL piegato alle finalità della minaccia stessa, consentendo così l’esecuzione di codice arbitrario con privilegio SYSTEM sui sistemi Microsoft che vedano McAfee Agent istallato. 

Come dal bollettino di sicurezza di McAfee (https://kc.mcafee.com/corporate/index?page=content&id=SB10378), la scoperta è frutto di segnalazioni da analisti terzi, a cui McAfee riconosce i meriti: si tratta di ricercatori della società sudafricana Cyberlinx Security e del CERT della Carnegie Mellon University di Pittsburgh. 

Naturalmente McAfee può solo che confermare il problema risolvendolo nella versione 5.7.5 del suo McAfee Agent; il suggerimento è (neanche a dirlo) provvedere ad un rapido aggiornamento. 

McAfee non è nuova, come tutti i software, a questi problemi di sicurezza; pertanto la vera lezione che si impara da queste vicende non è la buona o pessima qualità di un prodotto, ma la vacuità di un approccio quasi fideistico a prodotti di difesa: anche questi sono software, e come tutti sono soggetti ad un possibile difetto, che nel loro caso, per il ruolo che ricoprono, per i privilegi che godono, hanno tipicamente un impatto pratico e di immagine più forte di ogni altro prodotto. 

Tweet