เปิดรายชื่อเครื่องมือแฮก (ที่น่าจะมาจาก NSA) ของ Shadow Broker

by lew
22 August 2016 - 06:50
Read full version on Blognone.com

กลุ่มแฮกเกอร์ Shadow Broker ปล่อยเครื่องมือแฮกจากกลุ่ม Equation Group ที่น่าจะเกี่ยวข้องกับ NSA ออกมา ตอนนี้นักวิจัยก็เริ่มเปิดเผยรายการเครื่องมือออกมา

Shadow Broker ระบุว่าเครื่องมือเหล่านี้เป็นเพียงบางส่วน และเรียกร้องเงินเพื่อเปิดเผยเครื่องมือทั้งหมด

เครื่องมือที่เปิดมาแล้วได้แก่

  • EGREGIOUSBLUNDER: เจาะไฟร์วอลล์ Fortigate ผ่าน HTTP Cookie กระทบรุ่น 60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600, และ 3600A
  • ELIGIBLEBACHELOR: เจาะไฟร์วอลล์ TOPSEC รุ่น 3.2.100.010, 3.3.001.050, 3.3.002.021, และ 3.3.002.030
  • ELIGIBLEBOMBSHELL: เจาะไฟร์วอลล์ TOPSEC รุ่น 3.2.100.010.1_pbc_17_iv_3 ถึงรุ่น 3.3.005.066.1 ผ่าน HTTP Cookie เครื่องนี้มีไฟล์เพิ่มเพื่อเจาะภายในไฟร์วอลล์ต่ออีกชั้น ได้แก่ WOBBLYLLAMA, FLOCKFORWARD, HIDDENTEMPLE, CONTAINMENTGRID, และ GOTHAMKNIGHT
  • ELIGIBLECANDIDATE: เจาะไฟร์วอลล์ TOPSEC เพื่อรันโค้ดผ่าน HTTP Cookie กระทบรุ่น 3.3.005.057.1 ถึง 3.3.010.024.1
  • ELIGIBLECONTESTANT: เจาะไฟร์วอลล์ TOPSEC เพื่อรันโค้ดผ่าน HTTP POST กระทบรุ่น 3.3.005.057.1 ถึง 3.3.010.024.1
  • EPICBANANA: เจาะไฟร์วอลล์ Cisco ASA และ Cisco PIX ด้วยการตรวจสอบรหัสผ่านเริ่มต้นของไฟร์วอลล์ กระทบ Cisco ASA รุ่น 711, 712, 721, 722, 723, 724, 80432, 804, 805, 822, 823, 824, 825, 831, และ 832 กระทบ Cisco PIX รุ่น 711, 712, 721, 722, 723, 724, และ 804
  • ESCALATEPLOWMAN: ยกระดับสิทธิ์ผู้ใช้ในไฟร์วอลล์ WatchGuard
  • EXTRABACON: เจาะไฟร์วอลล์ Cisco ASA เพื่อรันโค้ด ผ่าน SNMP กระทบรุ่น 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, และ 844
  • BOOKISHMUTE: เจาะไฟร์วอลล์ที่ไม่ระบุชื่อ แต่รันใน RedHat 6.0
  • FALSEMOREL: หารหัสผ่านสำหรับเข้าสิทธิ์ระดับสูง (enable password) ในไฟร์วอลล์ (น่าจะเป็นซิสโก้)
  • BENIGNCERTAIN: เจาะกุญแจเข้ารหัส จาก Cisco PIX ด้วยการสร้างแพ็กเก็ตรูปแบบเฉพาะ ทำให้ผ่านกุญแจ RSA ได้จากระยะไกล รูปแบบการโจมตีคล้ายกับ Heartbleed แต่เป็นการเจาะสำหรับ VPN ที่ใช้ IKE

นอกจากเครื่องมือการเจาะระบบแล้ว ยังมีรายการซอฟต์แวร์ฝังตัวไว้ในเครื่องเหยื่อ (implant) และชุดเครื่องมืออื่นๆ เช่น การแปลงหมายเลขไอพี, แปลงไฟล์เป็น PCAP, และยิงแพ็กเก็ตออกไปยังเน็ตเวิร์ค รายชื่อเครื่องมือทั้งหมดอ่านได้ในที่มา

ตัวที่อันตรายที่สุดตัวหนึ่งคือ BENIGNCERTAIN ที่ใช้ดึงกุญแจเข้ารหัสออกจาก Cisco PIX ที่หมดอายุการซัพพอร์ตไปแล้ว แต่ยังมีการใช้งานในวงกว้าง องค์กรไหนยังใช้อยู่ควรตรวจสอบว่าได้รับผลกระทบหรือไม่

ที่มา - Musa Labs 1, 2

Read on Full Site
Blognone Jobs Premium