TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังจากที่ Shadow Brokers ได้ออกมาเปิดเผยถึงช่องโหว่ต่างๆ ที่ NSA ใช้ในการโจมตีที่ทาง Shadow Brokers ขโมยออกมาได้นั้น ทาง Mathew Hickey ผู้ร่วมก่อตั้งธุรกิจด้านความมั่นคงปลอดภัยจาก Hacker House ได้ทำการศึกษาช่องโหว่เหล่านั้นและออกมาเปิดเผยถึงช่องโหว่ที่ NSA ใช้ในการโจมตี Oracle Solaris โดยเฉพาะ
NSA นั้นใช้ 2 โปรแกรมในการโจมตี Oracle Solaris ได้แก่ EXTREMEPARR และ EBBISLAND ซึ่งสามารถยกรีะดับสิทธิ์ของผู้ที่ Log In อยู่ภายในระบบให้กลายเป็น Root ได้ รวมถึงสามารถเข้าถึงสิทธิ์ Root ได้จากการเชื่อมต่อเครือข่ายจากระยะไกล โดยช่องโหว่เหล่านี้สามารถทำงานได้บน Oracle Solaris ทั้งแบบ x86 และ Sparc บนรุ่น 6 – 10 และอาจทำงานได้บนรุ่น 11 ด้วย
EXTREMEPARR นี้ใช้การโจมตีผ่านทาง dtappgather, File Permission และ setuid binary at พร้อมๆ กัน ในขณะที่ EBBISLAND นั้นทำให้สามารถเปิด Open RPC ให้ผู้โจมตีทำการเชื่อมต่อเข้ามาด้วย Remote Root Shell ได้โดยอาศัยช่องโหว่ในส่วนของโค้ด XDR เป็นหลัก
ปัจจุบันทาง Oracle ยังไม่ได้ออกมาให้ความเห็นใดๆ อย่างเป็นทางการ ใครที่ใช้ Oracle Solaris ก็อาจต้องติดตาม Patch กันหน่อยครับ
ที่มา: https://www.theregister.co.uk/2017/04/11/solaris_shadow_brokers_nsa_exploits/
