Tenable Nessus 5.2.1 Process Detection Plugin ID 59275 mi_malware_scan.nbin Race Condition
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Tenable Nessus 5.2.1 entdeckt. Sie wurde als problematisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Datei mi_malware_scan.nbin der Komponente Process Detection Plugin ID 59275. Die Manipulation führt zu Race Condition. Die Verwundbarkeit wird als CVE-2014-2848 geführt. Es ist kein Exploit verfügbar. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
Eine problematische Schwachstelle wurde in Tenable Nessus 5.2.1 (Security Testing Software) ausgemacht. Davon betroffen ist eine unbekannte Funktion der Datei mi_malware_scan.nbin der Komponente Process Detection Plugin ID 59275. Durch Manipulieren mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-362. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
A race condition in the wmi_malware_scan.nbin plugin before 201402262215 for Nessus 5.2.1 allows local users to gain privileges by replacing the dissolvable agent executable in the Windows temp directory with a Trojan horse program.Entdeckt wurde das Problem am 29.01.2014. Die Schwachstelle wurde am 20.03.2014 durch Neil Jones als NGS00643 / RWZ-21387-181 in Form eines bestätigten Postings (Website) veröffentlicht. Das Advisory kann von nccgroup.com heruntergeladen werden. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet seit dem 11.04.2014 als CVE-2014-2848 statt. Die Schwachstelle ist wenig beliebt, und dies trotz ihrer geringen Komplexität. Der Angriff muss lokal passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Das Advisory weist darauf hin:
A service was then created to run this binary, the service created was set to automatically start upon boot. As a low level user the binary should be created before the scan, once the scan is in progress the binary is overwritten by the Nessus plugin, once the Nessus plugin overwrites the binary the low level user can once again overwrite the binary the machine can be rebooted by the low level user so the binary is automatically ran upon system boot.Dabei muss 36 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.
Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Tenable hat hiermit vorgängig reagiert. Das Advisory stellt fest:
The plugin has been updated and the vulnerability can be patched by updating the plugins on your scannerUnter anderem wird der Fehler auch in den Datenbanken von X-Force (92095), SecurityFocus (BID 66368†), Secunia (SA57403†) und SecurityTracker (ID 1029946†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-69305. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Betroffen
- Nessus Plugin Set 201402092115
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.9VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.9
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Race ConditionCWE: CWE-362
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Timeline
29.01.2014 🔍18.02.2014 🔍
06.03.2014 🔍
20.03.2014 🔍
21.03.2014 🔍
21.03.2014 🔍
24.03.2014 🔍
27.03.2014 🔍
11.04.2014 🔍
11.04.2014 🔍
18.03.2019 🔍
Quellen
Advisory: NGS00643 / RWZ-21387-181Person: Neil Jones
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2014-2848 (🔍)
GCVE (CVE): GCVE-0-2014-2848
GCVE (VulDB): GCVE-100-12680
X-Force: 92095 - Nessus mi_malware_scan.nbin privilege escalation, Medium Risk
SecurityFocus: 66368 - Nessus 'mi_malware_scan.nbin' Plugin Local Privilege Escalation Vulnerability
Secunia: 57403 - Nessus wmi_malware_scan.nbin Plugin Privilege Escalation Vulnerability, Less Critical
SecurityTracker: 1029946
scip Labs: https://www.scip.ch/?labs.20091204
Siehe auch: 🔍
Eintrag
Erstellt: 24.03.2014 13:25Aktualisierung: 18.03.2019 19:41
Anpassungen: 24.03.2014 13:25 (80), 18.03.2019 19:41 (1)
Komplett: 🔍
Cache ID: 216:C82:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.