Aktívan kihasznált sebezhetőség: SunSSH Solaris 10 x86 Remote Root

Solaris, OpenSolaris, Illumos

A trivial to reach stack-based buffer overflow is present in libpam on Solaris. The vulnerable code exists in pam_framework.c parse_user_name() which allocates a fixed size buffer of 512 bytes on the stack and parses a username supplied to PAM modules (such as authtok_get used by SunSSH). This issue can be reached remotely pre-authentication via SunSSH when "keyboard-interactive" is enabled to use PAM based authentication. The vulnerability was discovered being actively exploited by FireEye in the wild and is part of an APT toolkit called "EVILSUN". The vulnerability is present in both SPARC/x86 versions of Solaris and others (eg. illumos). This exploit uses ROP gadgets to disable nxstack through mprotect on x86 and a helper shellcode stub. Tested against latest Solaris 10 without patch applied and the configuration is vulnerable in a default vanilla install. This exploit requires libssh2, the vulnerability has been identified and confirmed reachable on Solaris 10 through 11.0.

Részletek itt.

( trey | 2020. 11. 10., k – 08:58 )

Bohóckodik még itt valaki internetre közvetlenül kirakott Solaris-szal (vagy leszármazottjaival)?

trey @ gépház

Nem hinném, de nem is ez az aggasztó. Az egyvektoros támadásokat már csak bot-ok hajtják végre. Ez azért nagy probléma mert a hasonló rendszerek régi és fontos funkciuókat futtatnak, pl banki vagy ipari környezetkben és feltehetően sok helyről elérhető az SSH portjuk, ezek után már csak egy GDPR powered HTTPS titkosított kapcsolat kell egy bönkészőhöz amiben még épp van egy kihasználható sebezhetőség.

Összetett rendszerek esetében komoly veszély lehet. Pldaként említeném a loki-t vagy hasonló SMB hibát kihaszunáló crypter malware kártevőket.

Láttam már itt Magyarországon éles banki rendszert 3 évvel ezelött ami Windows Server 2003 R2-n futott (plusz a vicc, hogy a KVM switch-en jelszó nélkül lehetett rajta garázdálkodni, amikor rákérdeztem azt mondták, hogy "Nem láttál semmit!" ).

Egy nap 24 óra, plusz az éjszaka!

A kérdés pontosan úgy hangzott, hogy bohóckodik-e valaki még internetre közvetlenül kirakott Solaris-szal :)

Miért kell egy Solaris SSH portját kiforwardolni az internetre? Másét is, de egy Solaris-ét? Amit lélegeztetőgépen tartanak, a fejlesztése olyan, amilyen, az auditja is, felhasználói bázisából kifolyólag a jövője is kérdéses.

Értem, ha kell, csak azt nem, hogy miért kell, hogy botok célpontja legyen az interneten.

trey @ gépház

Annál, hogy botok a világ bármely pontjáról bármikor rápróbálhatnak egy védetlen Solaris (igen, fontos hogy Solaris) SSH portjára? Bármi.

  • egy naprakészen tartott, a disztribútor által folyamatosan karbantartott minimál disztrót futtató login box
  • forrás IP szűrés
  • vagy, ahol pénz is van Solarisra, ott kifinomultabb Privileged Access Management megoldások, mint pl. a Wallix vagy Balabit stb. termékeinek használata

Ezek mind megoldások lehetnek a botok ellen.

trey @ gépház

Valaki szólhatna nekik:
http://www.hszk.bme.hu/pictures/ural2.html
http://www.hszk.bme.hu/ural2-basic.html

Azért, egy kissé ciki, ha az ország egyik vezető informatikus-képző egyetemén nem találnak senkit, aki összepattintana egy friss Debian/Ubuntu szervert, vagy bármilyen up-to-date UNIX variánst...