В рассекреченной платформе АНБ для поиска уязвимостей нашли собственную «дыру»
26 март 2019 12:40 #78859
от ICT
Удаленная эксплуатация... Эксперт поинформбезопасности обнаружил критическую уязвимость в платформе Агентстванациональной безопасности США (АНБ) Ghidra. Уязвимость позволяет запускать в нейпроизвольный код удаленно. Ghidra представляет собой написанный наJava кросс-платформенный фреймворк, предназначенный для обратного инжиниринга (исследования)готового программного обеспечения и поиска уязвимостей. О существовании этойсистемы впервые стало известно в 2017 г., когда ресурс WikiLeaks в рамках кампании Vault 7 слил большой объем непубличных данных охакерском инструментарии ЦРУ и методах его использования. Среди этих документовупоминается и Ghidra. В марте 2019 г. АНБопубликовало исходный код Ghidra, сделав таким образом некогда секретную платформупубличным достоянием.
В платформе для обратной разработки АНБ нашли критическую уязвимость «Вероятнее всего, АНБнадеется максимально усовершенствовать код Ghidra с помощью сообщества open source, — считает АнастасияМельникова, эксперт по информационной безопасности компании Sec Consult Services. — Очистить от"багов", усовершенствовать код, насколько возможно, и сделать весьфреймворк инструментом, способным конкурировать с другими аналогичнымирешениями. Судя по популярности пакета, эти надежды не напрасны». ...сторонних специалистов Естественно, этот кодпривлек самое пристальное внимание со стороны всевозможных экспертов поинформационной безопасности, и вполне ожидаемым образом в ней начали находитьсяуязвимости. В частности, эксперт подником sghctomaвыявил XXE-уязвимость(XML External Entity), которая позволяетзапускать удаленный код в системе с установленной на ней Ghidra. Речь, впрочем, идет только о Windows. Уязвимостьнепосредственно содержится в процедуре открытия или восстановления проектавнутри Ghidra. Злоумышленникупотребуется создать специальный проект, загрузить в него XXE-эксплойт в любой XML-файл, располагающийся в директории проекта, азатем каким-либо образом заставить потенциальную жертву открыть этот проект. Со своей стороны,эксперты Tencent Securityподтвердили, что таким образом можно обеспечить запуск произвольного кода вцелевой системе. Учитывая, что Ghidra написанана Java,потенциальный злоумышленник может воспользоваться особенностями этого языка, атакже - слабыми местами в протоколе NTLM в Windows. Например, злоумышленник может создать HTTP-сервер с NTLM-авторизацией, а затемиспользовать уязвимость XXE/SSRF длятого, чтобы получить от машины жертвы NTLM-хеш и таким образом запускать произвольный код. Проблему можно частичнорешить блокировкой SMB-запросов файерволлом Windows или активацией цифровой подписи SMB. Также рекомендованообновиться до последней версии JDK. В ближайшее времяразработчики обещают выпустить версию 9.0.1, в которой данная проблема будетустранена. Короткая ссылка на материал: [url]#[/url]
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.