McAfee Web Gateway (MWG) UI 中的权限提升漏洞

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在 MWG 设备上获得管理员权限，从而完全控制设备。这可能导致敏感数据泄露、恶意软件部署、网络配置更改，甚至可能导致整个网络的破坏。攻击者可以利用此漏洞进行横向移动，攻击其他连接到 MWG 设备的系统。由于 MWG 通常用于过滤和检查网络流量，因此该漏洞可能被用于绕过安全控制，从而使攻击者能够访问内部资源。

Organizations heavily reliant on McAfee Web Gateway for web filtering and security are at significant risk. Specifically, deployments with weak password policies or shared user accounts are more vulnerable. Environments where the MWG appliance is directly exposed to the internet without adequate network segmentation also face increased risk.

• windows / supply-chain: Examine scheduled tasks for suspicious entries related to MWG. Check event logs for unusual process executions or privilege escalations within the MWG appliance.

Get-ScheduledTask | Where-Object {$_.TaskName -like "*MWG*"}

• linux / server: Monitor system logs (journalctl) for authentication attempts followed by unusual command executions on the MWG appliance. Use auditd to track access to the troubleshooting page.

journalctl -u mcs-webgateway -f

• generic web: Examine MWG access logs for unusual requests targeting the troubleshooting page. Look for patterns indicative of input manipulation attempts.

 grep "/troubleshooting" /var/log/mcs-webgateway/access.log

1. 2021-02-17Disclosure

   disclosure

1. 已保留2021-01-12
2. 发布日期2021-02-17
3. 修改日期2024-08-03
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 McAfee Web Gateway (MWG) 升级至 9.2.8 或更高版本。如果升级会造成中断，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。在升级之前，务必备份 MWG 设备的配置。此外，可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤对调试页面的访问，并阻止恶意输入。监控 MWG 设备的日志，查找任何可疑活动，例如未经授权的命令执行。