Публикация архива эксплоитов АНБ вскрыла большой пласт старых уязвимостей

11.04.2017 06:45

Хакерская группа Shadow Brokers открыла доступ к архиву с эксплоитами и инструментами для проведения атак, полученному в результате утечки информации из Агентства Национальной Безопасности США (АНБ). Активисты уже разобрали представленный архив и опубликовали структурированный вариант на GitHub. Несмотря на то, что в основном в архиве представлены достаточно старые эксплоиты, которым 10 и более лет, связанные с которыми уязвимости давно устранены, сам факт существования некоторых эксплоитов вызывает удивление.

Например, присутствует эксплоит для ранее неизвестной уязвимости в Postfix, который позволяет удалённо получить контроль за почтовым сервером. Эксплоит работает только с выпусками Postfix с 2.0.8 по 2.1.5, поставляемыми в 2002-2004 годах, но потенциально может быть адаптирован и для ветки 2.2.x. Изучение эксплоита показало, что он использует ошибку в реализации функции strip_address(), применяемой для разбора комментариев в заголовках сообщений. Ошибка была устранена более 11 лет назад в выпуске 2.2.11. В выпусках новее 2.2.11 уязвимость не проявляется.

Коме Postfix особого внимания заслуживают эксплоиты для получения контроля за сервером через Apache httpd (атака направлена на версию 2.0.40-21 из состава Red Hat Linux 9.0), прокси-сервер Squid, mod_ssl из состава http-сервера Apache 2.x (эксплоит датирован 2008 годом и нацелен на SSLv2), rpc.statd (атака на Red Hat Linux 6.0/6.1/6.2) и bluetooth-стек. Так же в архиве присутствуют ранее неопубликованные эксплоиты для rsync, sendmail, samba, proftpd, wuftpd, 7zip, cPanel, phpBB (до 2.0.11), SquirrelMail (1.4.0-1.4.7), Avaya Media Server, Exim (3.22-3.35), pcnfsd, SSH1 (проблема устранена в 2001 году), Telnetd и Netscape httpd. Следует отметить, что, как правило, упоминаемые в архиве уязвимости уже давно устранены.

Отдельно можно выделить серию удалённо эксплуатируемых уязвимостей в Solaris, которые использовались для взлома достаточно большого списка хостов в сети. Например, примечательна удалённая root-уязвимость в rpc-механизме, проявляющаяся вплоть до Solaris 9 на системах SPARC и Intel. Также отмечены удалённые root-уязвимости в rpc.cmsd, snmpXdmid (Solaris 2.6-2.9), Sun snmpd, dtspcd (SunOS 5), Tooltalk (DEC, IRIX, Solaris 2.6) и ttsession (Solaris 2.6-2.9). В арзиве также отмечены атаки на FreeBSD 5.3, в том числе упоминаются успешные атаки на поддомены в зонах gov.ru, minatom.ru, int.ru, snz.ru, vniitf.ru