Исходное сообщение
"Публикация архива эксплоитов АНБ вскрыла большой пласт стары..." Отправлено opennews, 11-Апр-17 09:28
Хакерская группа Shadow Brokers открыла (https://medium.com/@shadowbrokerss/dont-forget-your-bas...) доступ к архиву с эксплоитами и инструментами для проведения атак, полученному в результате утечки информации из Агентства Национальной Безопасности США (АНБ). Активисты уже разобрали (https://twitter.com/Snowden/status/850766326943690752) представленный архив и опубликовали (https://github.com/x0rz/EQGRP) структурированный вариант на GitHub. Несмотря на то, что в основном в архиве представлены достаточно старые эксплоиты, которым 10 и более лет, связанные с которыми уязвимости давно устранены, сам факт существования некоторых эксплоитов вызывает удивление. Например, присутствует эксплоит (https://github.com/x0rz/EQGRP/blob/33810162273edda807363237e...) для ранее неизвестной уязвимости в Postfix, который позволяет (https://twitter.com/JulianAssange/status/850870683831648256) удалённо получить контроль за почтовым сервером. Эксплоит работает только с выпусками Postfix с 2.0.8 по 2.1.5, поставляемыми в 2002-2004 годах, но потенциально может быть адаптирован и для ветки 2.2.x. Изучение (http://www.mail-archive.com/postfix-announce@postfix.or...) эксплоита показало, что он использует ошибку в реализации функции strip_address(), применяемой для разбора комментариев в заголовках сообщений. Ошибка была устранена более 11 лет назад в выпуске 2.2.11. В выпусках новее 2.2.11 уязвимость не проявляется. Коме Postfix особого внимания заслуживают эксплоиты для получения контроля за сервером через Apache httpd (атака направлена на версию 2.0.40-21 из состава Red Hat Linux 9.0), прокси-сервер Squid, mod_ssl из состава http-сервера Apache 2.x (эксплоит датирован 2008 годом и нацелен на SSLv2), rpc.statd (атака на Red Hat Linux 6.0/6.1/6.2) и bluetooth-стек. Так же в архиве присутствуют (https://github.com/x0rz/EQGRP/tree/33810162273edda807363237e...) ранее неопубликованные эксплоиты для rsync, sendmail, samba, proftpd, wuftpd, 7zip, cPanel, phpBB (до 2.0.11),  SquirrelMail (1.4.0-1.4.7),  Avaya Media Server, Exim (3.22-3.35),  pcnfsd, SSH1 (проблема устранена (https://packetstormsecurity.com/files/24347/ssh1.crc32.txt.html) в 2001 году),  Telnetd и Netscape httpd. Следует отметить, что как правило, упоминаемые в архиве уязвимости уже давно устранены. Отдельно можно выделить серию удалённо эксплуатируемых уязвимостей в Solaris, которые использовались для взлома достаточно большого списка  (https://gist.github.com/anonymous/e798bf6f19c85905bff2631c8e...)хостов в сети. Например, примечательна удалённая root-уязвимость в rpc-механизме, проявляющаяся вплоть до Solaris 9 на системах SPARC и Intel. Также отмечены удалённые root-уязвимости в  rpc.cmsd, snmpXdmid (Solaris 2.6-2.9), Sun snmpd, dtspcd (SunOS 5),  Tooltalk (DEC, IRIX,  Solaris 2.6) и ttsession (Solaris 2.6-2.9). В арзиве также отмечены (https://github.com/x0rz/EQGRP/tree/1667dacddf710082a1567e4e4...) атаки на FreeBSD 5.3, в том числе  упоминаются (https://github.com/x0rz/EQGRP/blob/1667dacddf710082a1567e4e4...) успешные атаки на поддомены в зонах gov.ru, minatom.ru, int.ru, snz.ru, vniitf.ru URL: http://www.mail-archive.com/postfix-announce@postfix.or... Новость: http://www.opennet.ru/opennews/art.shtml?num=46356