Shadow Brokers : des outils de hack pour Solaris dans la nature
Les dernières révélations des Shadow Brokers renferment deux exploits permettant de mettre la main sur la plupart des systèmes Solaris. Une menace in the wild contre laquelle les administrateurs sont pour l’instant démunis.
Parmi les dernières révélations des Shadow Brokers, ce groupe de pirates qui depuis août 2016 dévoile des outils de hacking dérobés à la NSA américaine, figurent deux fichiers permettant de pirater Solaris, l’OS de Sun aujourd’hui dans le giron d’Oracle. Selon un chercheur en sécurité britannique, Matthew Hickey, deux programmes faisant partie de la dernière livraison du mystérieux groupe de hackers, qui affirme avoir piraté The Equation Group (un faux nez de la NSA), permettent d’obtenir un accès root sur Solaris depuis le réseau ou une élévation de privilèges depuis un accès standard. Dénommés ExtremeParr et Ebbisland, ces deux outils, disponibles sur GitHub, ciblent de nombreuses versions de l’OS sur x86 et Sparc, selon les constatations de Matthew Hickey. La dernière version de Solaris, la 11, pourrait même être concernée.
ExtremeParr permet ainsi une élévation de privilèges, depuis un accès utilisateur standard (ou une application ou script malicieux) jusqu’au niveau root. Ce zero day, qui touche les versions 7 à 10, parvient à tromper le système d’autorisations de l’utilitaire dtappgather (qui supplée lme gestionnaire d’applications) et à détourner l’usage de setuid (permettant de faire tourner des applicatifs avec un privilège root).
« C’est Noël »
De son côté, l’attaque Ebbisland, pour Solaris 6 à 10 sur x86 ou Sparc, cible tout service RPC (remote procedure call) et permet d’ouvrir un shell racine sur le serveur hôte. L’exploit, un autre zero day, se base sur un débordement de mémoire du code XDR de Solaris. Dans les colonnes de The Register, Matthew Hickey compare ses trouvailles à un « jour de Noël ». « Ils ont effectivement obtenu une clef pour ouvrir un shell racine sur n’importe quel système Solaris de la planète. Ce sont des binaires statiques pré-construites et vous pouvez les exécuter tel quel avec très peu de connaissances techniques », assure-t-il. Dans une série de tweets, le chercheur relève également les fonctions d’Ebbisland permettant de masquer les traces des attaques.
Matthew Hickey, qui relève des références à Solaris 11 dans le code de l’exploit, explique que des milliers de machines vulnérables sont connectées à Internet, comme le montre une simple recherche sur le moteur de recherche en objets connectés Shodan.io. Plus grave peut-être, Solaris est exploité largement derrière les firewalls des entreprises pour faire tourner très souvent des applications très critiques. Les deux exploits made in NSA pourraient être récupérés par des pirates ayant déjà un pied dans une organisation – par exemple via la compromission d’un poste utilisateur – pour élargir leur rayon d’action. Et mettre la main sur des données sensibles.
Dès la dernière publication des Shadow Brokers, le 8 avril, le haut niveau de compromission des serveurs Solaris par la NSA apparaissait patent. Y figurait une liste de plus de 900 serveurs appartenant à des universités ou entreprises, serveurs qui auraient été employés par la NSA afin de déployer des malwares, lancer des attaques, voire exfiltrer des données depuis les cibles véritables. Or un très grand nombre de ces machines tournaient sous l’OS de Sun.
A ce jour, aucune solution n’est disponible pour réellement enrayer ces attaques. Le prochain update de sécurité d’Oracle est attendu le 18 avril. L’éditeur n’a toutefois pas indiqué si un correctif serait disponible dès cette date.
A lire aussi :
Les Shadow Brokers publient les outils de hacking de serveurs de la NSA
10 questions pour comprendre l’affaire Shadow Brokers
