04.12.2023

Удалённая root-уязвимость в Solaris


В октябрьском обновлении Solaris была устранена уязвимость (CVE-2020-14871) в подсистеме PAM (Pluggable Authentication Module), которой был присвоен наивысший уровень опасности (10 CVSS), но информация ограничивалась только тем, что проблема может быть эксплуатирована удалённо. Теперь появились первые сведения о совершении реальных атак и доступности рабочего эксплоита, который, как оказалось, продавался на чёрном рынке ещё с апреля этого года. Эксплоит позволяет неаутентифицированному атакующему получить root-доступ к системе. Проблеме подвержены ветки Solaris 10 и 11.

Атака может быть совершена при использовании в системе SSHD для организации входа пользователей или при наличии других сетевых сервисов, в работе которых используется PAM. Утверждается, что уязвимость уже активно используется хакерской группой UNC1945 для атак на корпоративные сети и установки бэкдора SLAPSTICK. Интересно, что после эксплуатации уязвимости для продолжения атаки в Solaris создаётся виртуальная машина, в которой запускается специальная сборка дистрибутива Tiny Core Linux с подборкой утилит для компрометации различных систем в локальной сети.

Источник: https://www.opennet.ru/opennews/art.shtml?num=54017

Добавить комментарий