近日,Core Security公司的安全研究人员表示,他们已经在Quest公司产生的磁盘备份和系统管理设备中发现了超过60个安全漏洞。目前,该IT管理公司已经发布了修复程序,并威胁Core Security公司研究人员称,一旦其披露太多技术细节,将立即对其采取法律行动。
据Core Security研究人员介绍称,其在Quest的DR系列磁盘备份设备中发现了50多个安全漏洞,其中最严重的漏洞将允许远程和未经身份验证的攻击者,通过登录进程的“password”参数执行任意系统命令。
安全专家还在该产品中确定了其他45个命令注入问题,但这些问题都需要认证,目前危害性不大。此外,Core还声称已经发现了6个特权升级漏洞,允许攻击者获得设备的root权限。
据悉,此次发现的安全漏洞主要影响Quest DR系列磁盘备份软件4.0.3及其更早版本,并且该公司已经在4.0.3.1发行版中对这些漏洞进行了修复。
此外,Core公司在其发布的另一份安全公告中,还介绍了影响Quest KACE系统管理设备的11个安全漏洞。研究人员发现,该产品的Web控制台受到3个命令注入漏洞的影响,其中一个漏洞可能会被未经身份验证的攻击者利用。
针对该产品的安全漏洞列表还包括权限升级漏洞、SQL注入漏洞、跨站点脚本(XSS)以及路径遍历漏洞等。目前,这些漏洞已经通过适用于Quest KACE系统管理设备(SMA)版本7.0、7.1、7.2、8.0和8.1的修补程序完成了修复。
在披露KACE产品的安全漏洞期间,Quest公司警告Core称其工作已经违反了供应商的许可协议,并要求该安全公司不要公开其调查结果,以避免面临法律诉讼的结果。
据Quest公司官网介绍,其产品已经应用部署在全球超过13万家公司之中,且该公司确实拥有信息披露政策,但是该政策指出,任何漏洞报告都将被视为公司的机密和专有信息,不能向任何第三方披露。
目前,Core仅仅发布了有关每个漏洞的有限信息,但该公司表示,对于Quest公司的漏洞披露态度感到非常失望。Core表示,
自1997年以来,CoreLabs一直在发布安全公告,并且坚持在漏洞披露之前,与软件供应商进行协调和协作,以帮助确保在漏洞详细信息发布前准备好修复程序或解决方案。我们始终坚信,向用户提供关于每个发现的技术细节是非常有必要的行为,因为这样才能保证用户和相关组织能够充分了解漏洞信息及其对自身环境的影响。此外,最重要的是,帮助用户优先考虑旨在降低风险的缓解措施。
