Удаленная служба отладки Node.js запускается по умолчанию и слушает разные порты на интерефейсе localhost.
Исследователь команды Google Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил очередной бэкдор в продуктах компании Trend Micro. Речь идет о следующих решениях: Trend Micro Antivirus, Maximum Security, Premium Security и Password Manager. Суть уязвимости заключается в следующем: удаленная служба отладки Node.js запускается по умолчанию и слушает на интерефейсе localhost.
Ошибка позволяет удаленному пользователю с помощью специально сформированной web-страницы обратиться к отладочной службе и выполнить произвольные команды на системе с привилегиями учетной записи SYSTEM. Поскольку прослушиваемые порты могут меняться, атакующему потребуется осуществить брутфорс-атаку и подобрать правильный номер порта.
Тэвис Орманди опубликовал PoC-код, запускающий калькулятор при посещении специально сформированного сайта:
http://localhost:50820/json/new/?javascript:require('child_process').spawnSync('calc.exe')"
19 марта нынешнего года Орманди сообщил о проблеме команде Trend Micro, и 30 марта компания выпустила временный патч. Финальная версия патча будет доступна через несколько недель. В настоящее время нет свидетельств активной эксплуатации уязвимости.
В январе нынешнего года Орманди обнаружил похожую проблему в антивирусе Trend Micro. Тогда речь шла о компоненте Password Manager в Trend Micro Antivirus для Windows. Как оказалось, менеджер паролей открывал несколько HTTP RPC-портов, позволяющих выполнить произвольные команды. В настоящее время ошибка уже устранена.
Одно найти легче, чем другое. Спойлер: это не темная материя